ssoL2 TISTORY

Wordpress 취약점을 모아놓은 사이트 wpscan.com/search?text=get_album_item get_album_item.php - Wordpress plugin wp-symposium version < 15.5.1 SQL Injection

보호되어 있는 글입니다.

avicap32.dll : Team viewer Trojan Backdoor

메모리 덤프뜨는 방법 FTK imager -> 무료라서 많이 이용됨 Encase 등 FTK에서 [Capture Memory]를 통해서 현재 메모리를 덤프 뜰 수 있음 이제 덤프뜬 메모리를 분석해야함 -> Volatility 도구 이용 크게 나눌 수 있음 프로세스, 네트워크, cmd, 웹기록(ie), mft파서, 프로세스 메모리 덤프, 파일 보구, 레지스트리 등 1. imageinfo 운영체제의 profile을 알아야 플러그인을 통한 메모리 파일을 분석할 수 있음 메모리가 크면 클수록 오래걸림 보통 서버를 용량이 매우 커서 분석하기도 오래걸려서 메모리 덤프를 하지 않음 -> 개인 pc라는 가정하에 보통 윈도우 서비스팩 버전이 높은 것을 선택하는 것이 좋다. * 서비스팩(Service pack) : 소프트웨..

history -> (/home/~/.bash_history) group -> (/etc/group) last -> (/var/log/wtmp) lastlog -> (/var/log/lastlog) passwd -> (/etc/passwd) shadow -> (/etc/shadow) w -> (/var/run/utmp) netstat_an lsof arp (/proc/net/arp) df date hostname ifconfig timezone (/etc/timezone) localtime (/etc/localtime -> /usr/share/zoneinfo/Asia/Seoul) uname crontab (/etc/crontab) ipcs lsmod (/proc/moduls) ps pstree acces..

위는 jpeg 파일 구조이고 아래는 각 구조에 대한 설명이다. 참고로 위 사진 순서대로 되어있지 않음 각자 찾아봐야 함 jpg는 SOI로 "FF D8" 이미지 시작을 알리고 이후 APPn으로 썸네일 이미지를 담는다. 위 사진을 보면 APP1 마커 마지막에 썸네일을 담는다. 이 썸네일은 또 SOI로 시작되기 때문에 "FF D8"로 시작하는 것임. 따라서 JPG 헥스 분석시에 첫 FF D8은 본연의 헤더 시그니처이고 두번째부터는 썸네일 관련이다. 또한, FF D8이 한번 더 나오는 구조는 썸네일의 썸네일이라고 생각하면됨 ㅇㅇ 아래 그림은 CTF 문제를 HxD로 분석한 것! 대충 이런 구조로 썸네일의 썸네일이 있단 소리이다. 주소가 썸네일의 썸네일 예시-> ssol2-jjanghacker.tistory.com..

WAV(Waveform Audio File Format)는 개인용 컴퓨터에서 오디오를 재생하는 오디오 파일 포맷 표준이다. 확장자는 [.wav]이다. 비압축 포맷이다. wave 파일의 헤더 구조 1. RIFF Chunk ID (4 byte) = wave 파일의 헤더 시그니처 => 52 49 46 46 (ASCII로 RIFF) Chunk size (4 byte) = 전체 파일 크기 - 8 byte(Chunk ID 4 byte + Chunk size 4 byte) -> Little Endian 작성 Format (4 byte) = 파일 형식 => 57 41 56 45 (ASCII로 WAVE) 2. FMT Chunk ID (4 byte) = 'fmt ' 고정값=> 66 6D 74 20 (ASCII로 fmt +..

Audacity : 음악 파일 분석 툴 (주로 big주파수에 flag 숨기기, 백마스킹, 모스부호 등) 사이트 -> www.audacityteam.org/ audacity 사용 1. ctrl+A 전체선택하고 [분석]-[스펙트럼 표시] -> 가로 줄 주파수가 사람이 들을 수 있는 16K 이상이면 flag 의심 2. 백마스킹은 [효과]-[역순으로] -> 실행하면 역으로 재생(역의 역이니까 정상 소리) 3. 모스부호는 스펙트럼 왼쪽 블락에 [X 파일명 아래화살표]에서 아래화살표 눌러서 [스테리오 트랙 분할]하면 보일 것임

GIMP2 => 포토샵 비스무리한 프로그램 => 스테가노그래피 문제 풀 때 사용 사이트 -> www.gimp.org/ install과정을 거치고 실행하면 프롤로그 시작된다. GIMP를 '김프'라고 부르면 되는 것 같다. 그누 이미지 처리 프로그램이다. 나중에 메모리 덤프 속의 이미지를 확인하고 싶으면 GIMP2를 이용하면 된다. ex) mspaint.exe memdump

공부 1. volatility 사용법 공부 www.volatilityfoundation.org/ 2. PID와 PPID 3. md5, NTLM 해시 1. volatility 사용법 Volatility : 메모리 덤프 파일을 분석하는데 사용되며, 파이썬 기반으로 무료 어플리케이션이다. Readme.txt를 참고해서 기본으로 제공되는 플러그인을 확인할 수 있다. 다운로드 링크 (os 환경에 맞게 설치) -> www.volatilityfoundation.org/26 설치 완료된 모습 메모리 덤프 파일[MemoryDump(SuNiNaTaS)]을 분석하기 위해서 해당 파일을 volatility.exe 위치로 옮긴다. 윈도우 cmd에서 volatility.exe 주소로 옮긴다. 이제 volatilty의 플러그인 사..

공부 1. http, ftp, dns, tls 프로토콜 통신규약 등을 공부하기 2. zip password cracking 하는 법 (ex : advanced archive password recovery) 1. 프로토콜 통신규약 프로토콜(Protocol) : 컴퓨터 통신 시 지켜야 할 절차 및 규약 1) HTTP 프로토콜 HTTP(Hypertext Transfer Protocol) : 인터넷에서 데이터를 주고 받기 위한 서버/클라이언트 모델을 따르는 프로토콜 Application Level Protocol로 TCP/IP 위에서 작동한다. HTTP는 이미지, 동영상, 오디오 등 어떤 종류의 데이터든지 전송할 수 있도록 설계돼 있다. Hypertext 기반으로, 즉 링크 기반으로 데이터를 전송 및 접속한다..

공부 1. 추천문서 bpsecblog.wordpress.com/2016/08/21/amalmot_4/ 정독 2. 스테가노 그래피 도구 알아보기 3. 이미지 스테가노 체크리스트 stegonline.georgeom.net/checklist 정독 1. 추천문서 정독하기 bpsecblog.wordpress.com/2016/08/21/amalmot_4/ 스테가노그래피 스테가노그래피(steganography) : 고대 그리스 언어 "stegos"(감추다) + "graphie"(글) = "감춰진 글" 일반 메세지에 비밀 메세지를 숨기고 최종 목적지에서 비밀 메세지를 볼 수 있는 것 호스트 파일(또는 carrier 파일) : 비밀 메세지를 저장하고 있는 파일 페이로드 : 호스트 파일 안에 숨겨진 비밀 문서 노이즈(no..