전체 글241 [ctf] 자바스크립트 난독화 & 복호화 사이트 모음 https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=sfast&logNo=220592081099 [자바스크립트 난독화 사이트] 1. Base62 encode , Shrink variables 옵션을 줄 수 있다. 개인이 제공하는 사이트로 추정. http://dean.edwards.name/packer/ 2. hex코와 같은 더 정교한 구조로 변조를 도와주는 사이트이다. https://obfuscator.io/ 3. 특이한 난독화를 수행하는 사이트 https://utf-8.jp/public/aaencode.html 4. (참고 )소스코드를 $와 _를 이용하여 난독화를 수행하는 사이트 https://blog.korelogic.com/blo.. 2022. 5. 4. [안드로이드] 안드로이드 앱 분석 - 정적분석 [정적 분석] 분석할 타켓을 실제 실행시키지 않는 상태로 분석. 정적분석은 Binary 분석과 Directory 탐색이 있다. 목적은 (1) 앱의 동작 로직을 파악하기 위함과 (2) 동적 분석을 쉽게 하기 위함 (3) 중요 정보 포함 여부 확인이다. apk 추출 방법은 (1) 백업 기능을 이용한 apk 다운으로 파일 관리> 백업> apk 백업> 해당 파일 PC로 추출 (2) playstore app경로로 다운 (3) apk 추출 app으로 추출 자바+xml > 컴파일 > 클래스 > .dex(dex tool로) > dex+resouce+xml > apk 자료형 타입 표현 타입 표현 타입 I int F float J long S short Z Boolean C char D double V void 메서드 종.. 2022. 5. 4. [안드로이드] 앱 변조 후 rebuild 후 singing 하기 소스 수정 : xml > visual studio code java 등 apkstudio 나 jadx파일 분석 후 수정 개인적으로 아예 수정은 스말리 코드와 같은 어셈블어로 해야하는 것으로 알고있다. [사인 만들기] keytool -genkey -v -keystore normal.keystore -alias normaltic -keyalg RSA -keysize 2048 -validity 10000 서명 jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore my-release-key.keystore [리패키징한apk] alias_name apk에 서명을 함 java -jar signapk.jar testkey.x509.pem testkey.p.. 2022. 5. 3. [안드로이드] apk 파일 apktool 사용, Burp 잡기, android developer site 새 노트북에 설치하려니까 헤메서 가이드 보고 했다 :) https://ndb796.tistory.com/448 간단한 Apktool 설명, 설치, 사용 방법 (안드로이드 앱 분석) Apktool은 대표적인 안드로이드 애플리케이션(Android Application) 대상의 리버스 엔지니어링 도구입니다. APK 파일을 분석하여 리소스를 뽑아낼 수 있고(디코딩), 코드를 수정하여 다시 재빌드(Rebuild) ndb796.tistory.com 파일 보는 법: activity는 화면을 표시하는 단어로 쌍으로 한 개 있으면 화면이 한 개라는 소리이다. 특히 안에 의 MAIN이 붙은 엑티비티를 첫 화면으로 인식한다. 첫 실행 엑티비티는 런처 카테고리 태그를 사용한 액티비티를 찾으면된다. 해당 태그가 있다면 액티비티.. 2022. 5. 2. [ctf] write-up 모음(1) ctf write-up 대부분 한국출처 중 볼만한 것을 모아봤다. 쉽고 재밌을 것 같은 문제들을 추렸다. 웹) 무차별 대입 공격?page=1225 페이지에 flag가 있다.이렇게 flag가 나온다. 이렇게 코딩을 해준뒤 실행을 하면 몇 분뒤에 결과가 나온다. request의 소스를 확인해서 "HackCTF{" 라는 문자열이 있는 페이지를 찾는 프로그래밍을 해야한다. 이미지 시그니처를 다르게 해서 그 안에 flag 넣기 Steganography) Audacity로 mp3파일에 모스부호 넣어 디코딩해 flag 찾기 Osint 공개출처정보) 사진, 주어진 정보 내 탐색으로 flag찾기 TrollCAT CTF 2021 write up [CTF] 2021 Layer7 CTF͏͏ WriteUp [CTF] 2021 .. 2022. 5. 1. [PHP]파일 권한 설정 파일 업로드에서 var/www/html에 upload 파일을 만들어 넣으려고 하는데, 잠김 표시가 뜨면서 www-data의 소유로 r--r--r--으로 올라가서 다운로드가 안되는 현상이 있었다. 이를 해결하기 위해서 아직 설정을 하고 있다. https://ksbgenius.github.io/wordpress/2020/09/19/owner-and-permission-settings.html 이 사이트에서 폴더 권한 설정을 해주라고 해서 해당 폴더에 소유자를 www-data로 바꿨다. sudo chown -R www-data:www-data var/www/html 또한 폴더 권한을 chomod 777로 열어주었다. 하지만 아직 해당 부분이 해결되지 않았다. 파일을 더 하위에 만드는 방안으로 접근해야할 것 같.. 2022. 4. 27. [-] Daily - Host에 ..값 삽입, base64 값 변조 등 1. base64 값 변조 2, response 값 변조 false > true 값으로 변조 3. 변경 못하는 값을 파라미터 조작으로 변조 가능 4. 응답 값 Body를 통으로 지워 에러 유발 및 서버 정보 확인을 노림 또한 Host에 ..값을 삽입하면 에러유발이 될 수 있다. 5. 응답값 잡기 text|appication|json|html|xml|x-javascript 설정으로 놓치는 응답값 없이 전부 잡기 Proxy > Option에서 체크 2022. 4. 13. [Burp suite] Match & Replace 위 기능의 사용법은 문자열을 정규 표현식으로 바꾸어 사용할 수 있도록 해주는 기능이다. 사용하는 예시를 구글링 해보았을 떄, -Rexponse Body의 maxlength가 제한 되어 있을 떄 이를 50 > 5000 으로 늘릴 수 있다. -jsvascript에서 prompt를 이용해서 변수를 수정한다. param - prompt ("massage",param) -로컬 파일 등을 file://c:/work/test.js 등으로 치환하기 등등 활용이 다양하다 :) 이 기능 중에서 두번째 prompt 기능을 사용해본다. 일단 관리자 페이지 소스 중에서 암호화 부분을 찾아야 사용할 수 있는데 해당 페이지에 대한 지식이 부족해서 서칭을 좀 해봤다. http://taeyo.net/Columns/View.aspx?S.. 2022. 4. 12. [면접 준비] Sk 쉴더스 모의해킹직무 화상 면접 질문 공유 1. 1분 자기소개 1-1 특이하게 관광과에서 왔는데 정확히 어떤 계기인지 1-2 김태원 화이커 해커를 보고 꿈을 키웠다고 했는데 그분이 정확히 어떤 일을 했는지 2. 페이지 개발 시 왜 오라클을 사용하지않았는지 3. 다룰줄 아는 언어가 있는지 4. XSS 가상 모의해킹 시 정확히 뭘 해봤는지 4-1. 크사에 정의에 보면 세션아이디 탈취 및 악성코드 배포할수있다고 나와있다. 악성코드 작성 및 배포가 가능한지 4-2. XSS시 어떻게 클릭 유도를 할건지(어떤 문구로) 4-3. 키로거 짜봤는지 4-4 그럼 자바스크립트 할줄 아는건가요? 5. 자신있는 취약점이 있는지 6. 홈페이지 주면 모든 파라미터값에 SQL i 적용이 가능한지 7. 모바일 앱해킹 할 줄 아는지 7-1. 프리다 써봤는지 8. 입사하고 한달주.. 2022. 3. 24. 이전 1 ··· 10 11 12 13 14 15 16 ··· 27 다음
