본문 바로가기

전체 글170

[문제 풀이로 배우는 시스템 해킹 테크닉] level2 이 문제를 풀기 전에 먼저 알아야 할 것이 있다.바로 vi편집기의 명령어 실행 기능이다.:!명령어 를 입력하면 셸 화면으로 일시적으로 복귀하여 입력한 명령어를 실행한다.:sh 를 입력하면 셸을 실행할 수 있다.참고적으로 !앞에 r옵션을 추가하면 (즉, :r!명령어) 실행한 명령어의 결과값을 vi 편집기의 편집화면에 추가할 수 있다. 이번에도 hint파일을 열어 힌트를 얻어본다. level3의 권한을 일시적으로 얻을 수 있도록 level3계정의 권한에 SUID가 설정돼 있는 파일을 찾는다. 찾은 /usr/bin/editor파일을 실행시켜본다. vi 편집기와 똑같은 화면이 실행된다. level3 계정의 권한으로 vi편집기를 실행하게 되었으므로 my-pass명령을 실행시켜 패스워들을 알아낸다. 2017. 12. 1.
[문제 풀이로 배우는 시스템 해킹 테크닉] level1. 백도어 * 백도어-> 정상적인 아이디와 패스워드를 입력한 후 서버에서 본인이 맞는지 확인하는 과정을 회피하는 접근 경로-> 일반적인 인증을 통과, 원격 접속을 보장하고 plaintext에의 접근을 취득하는 등의 행동을 들키지 않고 행동하는 방법-> 설치된 프로그램의 형태를 취하기도 하고 기존 프로그램또는 하드웨어의 변형일 수도 있음 우선 ls로 디렉터리 안을 살펴보면 hint파일을 발견할 수 있다. hint파일 내용을 확인해 보면 아래와 같이 써져 있다.level2 권한에 setuid가 걸린 파일을 찾는다. 힌트를 확인했으니 find 명령으로 찾아본다.level2 권한이라고 했으니 -user level2 옵션을 주고,setuid가 걸려있다고 했으니 -perm -4000옵션을 준다.2> /dev/null은 표준 .. 2017. 12. 1.
블랙프라이데이를 검게 만든 피싱 공격 6 http://www.boannews.com/media/view.asp?idx=58235&skind=O 2017. 12. 1.
대칭키 VS 비대칭키 대칭키 (=비밀키, 관용키) 비 대칭키 (=공개키) 설명 동일한 키를 사용하여 암호화, 복호화 동일하지 않은 키를 사용하여 암호화, 복호화 암호화 키 비밀키 공개키 복호화 키 비밀키 비밀키 비밀키 분배 필요 불필요 장점- 키의 길이가 짧음- 속도가 빠름- 관리해야 할 키가 상대적으로 적음- 확장성이 좋음단점 - 키 분배가 어려움- 관리해야 할 키가 많음- 키의 길이가 김- 속도가 느림비밀키 수n(n-1)/22n DES, AES, SEED RSA, Rabin, Diff-Hellman, ECC, DAS(DSS) 2017. 3. 24.
scanf - visual studio 2015에서scanf를 쓰면 에러남 (C4996)-> 버퍼 오버플로우 공격을 방지하기 위해서 scanf_s를 권장하기 때문 - 해결책-> scanf_s를 사용하거나-> #pragma warning(disable:4996) 를 코드 상단에 추가 2017. 3. 21.
nmap 2017. 3. 20.
[Fedora] Proxy 2017. 3. 20.
[Fedora] Samba 2017. 3. 20.
[Fedora] NFS 2017. 3. 20.
[Kali] 패시브 스캐닝, 스팸메일 공격 2017. 3. 20.
[Fedora] FTP 2017. 3. 20.
[Kali] 무차별 대입 공격 2017. 3. 20.
[Fedora] Telnet, ssh 2017. 3. 20.
[Fedora] MySQL * mysql [mysql 계정 만들기] 1. mysql-server 설치 2. rpm 으로 설치 확인 3. mysqld 시작 4. mysql 접속 5. mysql 데이터 베이스로 이동 6. user 테이블의 값 확인 password 값이 없는 것을 확인 7. root의 비밀번호 설정 8. user 테이블의 값 확인 password 값이 생긴 것을 확인 9. flush privileges 명령 꼭 쳐야함 ! exit 명령으로 나가기 [DB 생성과 table 생성] 1. root 계정으로 mysql 접속 2. DB생성 3. myDB로 이동 4. table 생성 5. 테이블 확인 6. 테이블에 값 삽입 7. 테이블에 들어간 값 확인 [DB 삭제와 table 삭제] 1. 테이블 삭제 2. 테이블 확인 3. 데.. 2017. 2. 9.
DNS공격 DNS 취약점 - DNS는 같은 질의에 대한 응답이라도 먼저 온 응답만을 수용하고 실제 응답이라도 다음에 온 응답은 거부 - DNS는 초기에 보안을 고려하지 않고 설계된 프로토콜 -> 서비스거부 취약점(DDOS), 프로그램 취약점, 스푸핑 서비스거부 (DDOS) : 공격자가 불필요한 질의를 대량으로 발생시켜 목표 네임서버가 해당 질의를 처리하는 동안 다른 정상 서비스 요청에대해서 응답 못함 프로그램 취약점 : 네임서버 프로그램 버그에 의한 취약점을 의미 이 취약점에 의해서 네임서버 프로그램이 중지되거나 시스템 전체가 장악될 수 있음 (현재는 수정용 패치 프로그램 만들어지고 있음) 스푸핑 : 네임서버가 주고받는 정보를 공격자가 임의로 조작하여 인터넷상에 퍼뜨림 (경우에 따라서 공격 받았는지 여부가 발견되기.. 2017. 2. 8.