| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
- cve-2024-2242
- 악성코드
- Stored XSS
- 1-day analysis
- cve-2024-10924
- pentesting
- wp-automatic
- cve-2024-27956
- Command Injection
- DLL Injection
- broken access control
- LPE
- cve-2024-5084
- SQL Injection
- Burp Suite
- 악성코드 분석
- rce
- wordpress
- MALWARE
- 모의해킹
- plugin
- XSS
- authentication bypass
- 리버스 쉘
- wp-automatic plugin
- cve-2024-4439
- kioptrix
- really simple security plugin
- nmap
- cve-2024-27954
- Today
- Total
목록분류 전체보기 (96)
Psalm
Secret Notes
main 바이너리가 하나 주어지고, 미티게이션을 살펴보면 모두 적용되어 있다.IDA로 main 함수부터 살펴보면 먼저 buffer overflow가 나는 부분이 보인다. 그 전에 get_name을 호출한다. 함수 안을 살펴보면 또 다른 취약점이 보인다. printf함수에서 format String 버그가 보인다. 모든 보호 기법이 적용되어 있기 때문에 메모리 릭을 시도해야 한다. 프로그램을 실행시키고, 포맷 스트링을 입력하면 이렇게 특정 주소가 출력된다.쉘 스크립트를 사용해 몇 개의 스택 값을 추출한다.스택 카나리는 맨 마지막 00이 붙는 특징이있다. 11번째 위치에 있는 값이 스택 카나리로 추정된다.그리고 55로 시작하는 주소 몇 개가 보인다. 바이너리 주소로 추정된다. 27번째 위치의 주소는 264로..
La Tour
Jade가 인터넷에 히든 패스워드를 숨겨놨고, 그걸 찾으라고 한다. 파일을 다운받으면 덤프 파일이 주어진다.메모리 덤프파일의 프로파일을 먼저 확인했다. 그리고 pstree를 이용해 실행중인 프로세스들을 확인했다. 그랬더니 IE를 사용하고 이었고, 인터넷상에 숨겨놨다고 하니 해당 프로세스로 덤프를 떴다. 덤프를 뜨고, 인터넷과 관련된 키워드로 검색을 했더니 jade가 방문했던 흔적을 찾을 수 있었다.방문하면 password를 입력하라고 나오는데, 여기에다 password를 숨긴 것 같다.Password를 알아내기 위해 volatility의 hashdump플러그인을 사용하면 찾을 수 있다길래 해당 플러그인을 사용했다. Jade의 password는 36190865427581166c4b557937a8159e로 ..
문제를 살펴보면, Pearl은 생일 파티를 열려고 하는데 Sandeep은 연락이 되지 않아 Jade를 불러서 Sandeep과 연락할 수 있게 도와달라고 한다.그래서 Jade는 Pearl에게 메일을 보냈는데 Pearl의 PC가 고장난 상태이다. 그래서 정보들을 불러올 수 없으니 포렌식 분석을 부탁하는 시나리오이다.파일을 다운받으면 메모리 덤프 파일 하나가 주어지기 때문에 volatility로 바로 분석을 시도했다. Windows 계열 덤프 파일이고, 문제에서 메일을 보냈다 하니까 pslist를 통해 실행되고 있던 프로세스들을 살펴봤다. thunderbird라는 이메일 프로그램을 사용중이었고, pstree로 부모 프로세스를 살펴봤다. thunderbird프로그램 세개중 3888로된 프로세스가 부모프로세..
