Shadow2019 CTF에 팀 모두의 소속으로 참여 하였습니다. 팀원 형들의 도움 덕분에 1위 라는 성적을 거두게 되었는데 첫 CTF 대회 참여 결과가 1위라는 좋은 성적을 거두게 되었습니다! 이번 대회를 참여하면서 더욱더 공부를 해야 한다는 생각을 하게 되었고 진짜 모두의 보안에 들어간 것이 매우 자랑스러웠습니다. 모두의 보안 화이팅!!!!!

chage 명령어 리눅스의 계정 만료일과 암호 수정일을 변경할 수 있으며 변경사항을 /etc/shadow에 저장! /etc/passwd에 변경사항을 저장하는 명령어는 chmod! 사용 형식 chage [옵션] 대표적인 옵션 Options: -d, --lastday LAST_DAY 마지막으로 password를 변경한 날자를 변경 -E, --expiredate EXPIRE_DATE 패스워드 만료일 설정 -h, --help 명령어 도움말 출력 -I, --inactive INACTIVE 패스워드 만료후 패스워드 변경 유예기간(이 기간 지날시 계정 비활성화) -l, --list 계정 정보 출력 -m, --mindays MIN_DAYS 패스워드 변경후 최소 사용 기간 -M, --maxdays MAX_DAYS 패스워..

XXE Injecthion 공격 XML 문서의 External Entity를 이용하여 공격 하는 기법으로 공격자가 의도하는 외부 URL를 실행 시키는 공격! 2017 OWASP의 위협 4위에 등재된 공격 방법 대표적 공격의 예시 서비스 거부 공격 아래와 같은 간단한 코드를 통해 attack! 이라는 문자를 10^9 (10억)만큼 표현 하게 만듬으로 7byte의 문자를 10억으로 약 70GB라는 문서를 처리하게 됩니다. ]> &dos9; 서버 내부 파일 접근 공격 상대주소 또는 절대주소를 통해 파일의 내용을 읽어와 파일의 내용을 보여줄수 있습니다. 단 Binary는 불러올수 없습니다. &password;; XML를 이용한 XSS 공격 xml의 CDATA를 이용하여 '' 문자열 우회를 하여 xss 스크립트를..

시작 하기에 앞서 이전 포스트 1편을 보고 와주시면 감사하겠습니다. Python requests를 이용한 blind injecthion 스크립트 제작 (1편) Python requests를 이용한 blind injecthion 스크립트 제작 일단 시작하기전에 앞서 Blind SQL Injecthion에 대해 모르신다면 이전 포스트를 참조하세요. Python의 requests라이브러리를 이용해서 패킷을 전송하고.. jaeseokim.tistory.com 이전 포스트에서 알아낸 ID을 가지고 password의 길이에 대해 알아내는 스크립트를 작성해봅니다/ import requests url = 'https://webhacking.kr/challenge/bonus-1/index.php' #url 주소를 입력 ..

Python requests를 이용한 blind injecthion 스크립트 제작 일단 시작하기전에 앞서 Blind SQL Injecthion에 대해 모르신다면 이전 포스트를 참조하세요. Blind Sql Injection 공격 평범한 SQL Injection과 달리 Blind SQL Injection은 한번에 바로 결과가 나오는 것이 아닌 서버의 True 일때의 반응과 False의 반응이 비교가 된다면 이것을 가지고 DB의 정보를 알아내는 기술이다. 문자를 하나.. jaeseokim.tistory.com Python의 requests라이브러리를 이용해서 패킷을 전송하고 질의한 응답값을 보고 참과 거짓을 구분하여 자동으로 분석해주는 스크립트를 제작 하는 것이 목표! requests 라이브러리 reques..

Main News ""탐지 회피 우회공격·안티분석 사이버 범죄자 증가"" News Tracking “지능형 우회공격, EDR로 대응해야” 악성코드 탐지 솔루션 우회 ‘파일리스 공격’ 급증 교묘해지는 北 해킹 공격…컴퓨터와 스마트폰 동시에 노렸다 Comments 초기의 바이러스는 분석을 하게 되면 누가 봐도 바이러스 인것을 알고 있었지만 최근의 바이러스는 백신의 발달로 우회공격 기술이 발달하여 백신이 인식을 못하도록 하는 기술과 또 바이러스 분석을 방지 하도록 VM환경인지 아니면 실제 이용자 환경인지를 파악하여 작동을 하고 난독화 기술이 발달 했는데 이에 대해서 어떠한 대처가 가능한지 찾아봤다. 그결과 기존의 EPP 즉 백신으로는 탐지가 안되는 공격은 EDR 같은 솔루션을 통해 아직 알려지지 않은 공격에 ..

Main News [취재N팩트] 실리콘케이스에 뚫린 '갤노트10' 지문 인식" News Tracking 실리콘 케이스에 뚫린 갤럭시폰 지문인식 논란 확산 갤럭시 '지문 보안' 주의보…실리콘 씌우면 타인 손도 인식 갤럭시S10 ‘디스플레이 지문인식’ 극복해야 할 3가지 단점 Comments "최근 갤럭시 핸드폰의 내장형 지문인식 오류가 발생하였다는 뉴스가 나오고 있습니다. 젤리케이스(TPU 케이스)의 유막현상 방지를 위해 미세한 도트를 젤리에 새겨 두는데 이것이 초음파 지문인식 센서의 오작동을 불러 등록된 지문이 아니더라도 어떤 것이든 가져가가 대면 잠금이 풀리는 현상이 발생하고 있습니다. 이러한 보안 문제로 인하여 카카오뱅크, 리디북스 등등 다양한 회사에서 해당 기종은 지문인..

UNION Injection 이란 SQL Injection 공격의 기법 중 하나로 Union을 통해 데이터를 질의하는 공격이다. 일단 이 공격을 하기 위해서는 union이라는 sql 명령어에 대해 알고 있어야 한다. union 이란 SQL 집합 연산자이며 질의한 결과를 합치는 연산자이다. 단, 모든 칼럼의 값이 동일하여야 한다. *예시 select * from data1 +--------+--------+ | data1 | data2 | +--------+--------+ | a | 1000 | | b | 2000 | | c | 3000 | +--------+--------+ select * from data2 +--------+--------+ | data3 | data4 | +--------+----..