전체 글289

• 

  Encase - MBR PS - 물리적인 섹터 숫자 표시LS - 논리적인 섹터 숫자 표시CL - 클러스터 숫자 표시, ~번째 클러스터SO - 섹터 시작부터의 거리( byte)FO - 파일 시작부분까지의 거리(byte)LE - 선택영역의 크기 표시(byte) X - Deleted, Overwritten File : 파일이 삭제되고 다른 파일에 의해 덮어써진 파일로 완전 복구는 불가능O - Deleted File : 삭제되었으나 겹쳐쓰기 되지 않았다는 의미, 완전 복구 가능Lost File(Folder, Unallocated) : parent 폴더가 존재하지 않는 파일들을 모아서 가상의 폴더에 저장한다. Internal File - 파일시스템과 같이 운영체제가 만드는 파일Invalid Cluster - 파일이름 흔적은 있으나 저장.. For3nsic/Forensic 2015. 10. 30.

• 

  Encase For3nsic/Forensic 2015. 10. 29.

• Encase - 1 Digital Forensic 증거 이미지 - 세 가지 기본 요소(헤더, 체크섬, 데이터 블록)으로 구성 되며, 이를 분석시 컴퓨터 디스크의 상태를 Self-Checking하여 제공 CRC(Cyclical Redundancy Check) - 순환 중복 검사 - CRC는 체크섬과 매우 비슷한 방식으로 동작하지만 체크섬과 달리 Order-sensitive 특성을 지님 이는 문자열은 같은 체크섬을 가지지만 문자열 마다 서로 다른 CRC를 가지게 된다. 대부분 하드웨어는 각 섹터마다 하나의 CRC를 저장하며 디스크에서 READ 에러가 발생했다는 것은 디스크 섹터의 CRC와 해당 섹터가 읽어진 후 드라이브 하드웨어에 의해 재계산 된 값이 서로 다르다는 것을 의미한다. 증거이미지 포맷 - 각각의 파일은 정확하게 섹.. For3nsic/Forensic 2015. 10. 29.

• Forensic 증거분석하기 전 증거 분석하기전에 해야하는 작업으로 포렌식 절차에서 증거 PC하드디스크를 디스크 복사기에 넣고 공 하드에 섹터 그대로 옮긴 후 해당 옮겨진 데이터를 가진 증거 사본 하드디스크를 분석하기 전에 해당 하드디스크와 원본 하드디스크의 SHA 해시, md5 해시를비교해서 같은 후 Read-Only 상태로 분석을 시작해야 한다.증거 분석 방식에는 두가지 방식이 존재하는데 1) 사본 HDD를 마운트 시켜서 분석하는 방법2) 사본 HDD를 또 한번 이미지로 떠서 이미지 파일 자체로 분석하는 방법이 있다.HDD RPM 속도에 의해 속도가 달라지기 때문에 본인 HDD가 SSD(시바 속도 돋네)라면 이미지로 떠서 분석하는게 초당 평균 120MB/s로 분석이 가능하다. 가장 첫번째로 해야할 디스크 해시값 검증 But whit.. For3nsic/Forensic 2015. 10. 29.

• RFHACKING Rf spectrum Analyzing관련툴Gqrx – hack rfSdr#Gnu RadioRF analyzer – 안드로이드용도 있음, 단점 수신을 하는 기능 밖에없다. Rf signal replay attack GNU RADIOSdr 소프트웨어 SDR = Software Defined Radio무선 신호 송수신 기능 리플라이할때에는 소스를 저장해주고 핵rf로전송전파법 조심 - ism 밴드 주파수 대역 검색 – 무선 신호 캡쳐 – 그리고 리플라이로 보냄 Security Study/Network 2015. 10. 29.

• web 2일차 LFI1. Local File Include Attack 의 줄임말2. Include, require 등의 함수가 주 타겟3. 원하는 코드를 실행할 수 있으니 크리티컬 메인페이지 – 로그인- 글쓰기- 패스워드 파일- 업로드한 파일 과연 우리가 원하는 코드를 어떻게 넣지?1. /proc/self/environ2. /proc/loadavg/proc/$PID/environ3. 웹서버 로그4. 에러 로그----------------------------- 버전이 올라가면서 위의 공격은 힘들어짐5. 파일 업로드 -> 많이 사용됨 코드말고 wrapper1. fopen, copy, file등의 함수에 쓰임2. file://, http://, ftp:// 등등3. 대부분의 래퍼가 allow_url_include 가 o.. Security Study/Web 2015. 10. 23.

• 

  windows And linux ip차단 윈도우 같은 경우는 방화벽을 쓰는데... 여기서 고급 설정을 클릭후 다음을 누르고 포트와 프로토콜 차단 아이피를 설정한다. 리눅스의 경우 sudo iptables -A INPUT -s 차단하고 싶은 아이피 -j DROP iptables -L -> 리스트 보는 명령어 Security Study/Server(Linux) 2015. 10. 22.

• 

  integer overflow #include int main(){ int a,b; printf("a + b = 0 (a,b != 0)\n"); printf("A = "); scanf("%d",&a); printf("B = "); scanf("%d",&b); if(a + b == 0) { printf("Congratulation!\n"); } else if(a == 0 || b ==0) { printf("Fuck up!\n"); } else { printf("Fuck you!\n"); } return 0;} integer overflow란?기본 정수형에서 저장할 수 있는 기본치의 값보다 더 큰 수를 입력하여 예기치 않은 행동을 취하게 하는 것 Security Study/System 2015. 10. 22.

• webhacking web hacking - 1) 서버에 있는 개인정보 탈취 2) 시스템해킹을 위한 발판 XSS(크로스 사이트 스크립트) - 공격자가 서버를 통해 사용자를 공격 다른 사용자쿠키나 세션아이디를 탈취해서 사용자의 권한을 습득sotored - 저장되있는 것 (이벤트 핸들러) – 이용 ex) bob"onmouseover="alert(1)" 밑의 두줄이 한스크립트‘”a=’ ‘onerror=alert(1);> reflected – 쿠기, 사용자의 값을 서버에 날렸을 때 리턴값으로 ‘);alert(‘1%0aalert(1);/* -> %0a 개행문자 이용 다운로드 취약점../../target -> 상위 디렉토리로 올라감../target%00 -> NULL.\./targetindex.phpinext.pp Security Study/Web 2015. 10. 16.

• 

  LOB troll -> vampire 먼저 소스를 보면 앞이랑 다른 점을 많이 볼수 있다. 무엇보다 주소값이 0xbfffxxxx 가 될수 없는 점이다.이게 무엇 이 문제일까? 지금 까지 풀어온 문제의 주소값들을 확인 하면 전부다 bfff인것을 확인 할수 있다. 또 한가지 달라진점은 길이 검사를 하지 않는 다는 것이다. 이를 이용하여 우회하여 보자 gdb 를 들어가서 공격을 하는데 일단 100000이라는 큰수를 대입해여 주소값을 확인해 볼것이다.이렇게 바뀐것을 볼수 있다. 또한 bffe라는 것도 확인할 수 있다. 이로 payload를작성해보자\x90*44(버퍼와 더미) 그리고 주소값 + 다시 \x90 100000 높슬레드를 위한 값 + 쉘코드 쉘이 따이는 것을 확인할 수 있다. Wargame/CTF(Capture The Flag) 2015. 10. 15.

• 

  LOB orge -> troll 먼저 소스를 확인해보자!인자는 2개를 넘을수 없고 argv[1]은 48자 또한 memset으로 초기화가 된다. 그럼 일단 생각을 해보면 기본적으로 파일이름 때문에 argv[0]은 먹고 간다. 그러므로 생각을 해야하는데;;; 파일이름을 심볼릭링크를 이용해서 쉘코드를 등록 하면 어떨까? 저자는 48바이트를 쉘코드를 사용하였다. 이유는 \x2f 즉 / 가있으면 심볼릭 링크를 만들수 없기 때문이다. 이렇게 심볼릭 링크를 걸고 난후 gdb 를 이용해 들어가서 공격을 하고 주소값이 뒤덮인 것을 확인 해보고 주소값을 이용하여 공격을 한다. 물론 심볼릭 링크를 이용한다. 그렇게 되면 core파일이 만들어 지는데 이를 이용하여 진짜 주소값을 구해볼 껀데 core를 gdb 로 확인 하고 x/700s $esp를 하다보면 이.. Wargame/CTF(Capture The Flag) 2015. 10. 15.

• system 24byte shellcode \x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80 Security Study/System 2015. 10. 15.