본문 바로가기

전체 글241

[모바일 앱 취약점] Diva 설치 과정 - 안드로이드 패킷 잡기 글에 앞서 Diva를 설치하기 전 루팅이 필요하다.(내 경우, 루팅 후 앱이 다 날라갔기 때문) 루팅이 필요하기 때문에 블로그 안내에 따라 기기 탈옥을 시켜준다.(삼성) Lg는 작성한 글을 참고한다:) 2022.03.17 - [분류 전체보기] - [모바일 앱 취약점]LG G4 루팅(안드로이드 루팅) [모바일 앱 취약점]LG G4 루팅(안드로이드 루팅) 필요 프로그램 엘지) Lgup 프로그램 가이드 따르기https://m.blog.naver.com/dentzzang/221210626636 SKT LG G4 (F500S) 루팅 작년까지 사용하던 SKT LG G4 스마트폰을 차량용 티맵 네비로 변환시키기로 하였다... myungjjju.tistory.com 일단, Diva는 깃허브에서 내려받을 수 있다. 디버.. 2022. 3. 8.

[정보보안] 버퍼 오버 플로우(BOF) 개념, 원리, 대응방안 1) 개념 버퍼 오버 플로우는 프로세스가 사용 가능한 메모리 공간을 초과해서 발생되는 공격으로 보안 취약점이다. C나 C++을 사용할 때 메모리 공간에 제한을 두지 않는 API를 사용해서 발생하는 공격이다. 프로세스가 사용하는 메모리 공간은 Stack, Heap, Text, Data로 나누어져 있다. API(Application Programming Interface 애플리케이션 프로그래밍 인터페이스, 응용 프로그램 프로그래밍 인터페이스)는 컴퓨터나 컴퓨터 프로그램 사이의 연결이다. 일종의 소프트웨어 인터페이스이며 다른 종류의 소프트웨어에 서비스를 제공한다. 2) 메모리의 구조 상위 메모리 주소 문자열(argv) - 포인터(argv) - argv - 스택영역(stack) - 할당 - 힙영역(Heap) .. 2022. 3. 6.

[정보보안] Iptable 명령어 이해 1. 개념 iptable은 리눅스에서 방화벽 정책을 수립할 수 있는 도구로 Netfilter Projecti라는 곳에서 C언어로 만들어진 패킷 필터링 서비스이다. 직접적인 패킷 필터링은 Netfilter라는 모듈에서 담당을 하며 iptable은 룰을 관리하는 역활을 합니다. iptable은 리눅스에서 특정 패킷을 분석해 패킷을 차단하거나 허용할 수 있습니다. 패킷 필터링 정책을 수립하여 적용합니다. 체인이란 서버로 들어오기 전에 거치는 통로같은 곳으로 접근 제어를 설정하는 곳입니다. - INPUT: 외부 > 내부 - OUTPUT: 내부 > 외부 - FORWARD: 모든 패킷, 라우터에 방화벽을 적용할 때 쓰인다. 2. 명령어 구조 iptables[ -t table] command [match] [targ.. 2022. 3. 5.

[정보보안] etc/passwd, /etc/shadow에 대한 이해 /etc/passwd 평소에 웹 해킹을 하면서 몇번 보던 파일이다. 사용자의 계정가 담겨서 중요 파일에 속한다. 이기적 2022 기출문제에 헷갈리는 문제가 나왔다. 다음은 홍길동 계정(ID hong)에 대한 정보이다. 그 설명으로 잘못된 것은 무엇인가? [계정정보 사진] 해당 문제의 해설은 다음과 같다. " /etc/passwd에서 hong 계정은 /bin/false 로 설정되어 있어서 셀을 실행하지 않게 되어있다." 라는데 처음에 이게 도대체 뭔 소린지 구글링을 했다. 결국 이해한 건 /sbin/nologin 또는 /bin/false 설정 자체가 로그인을 할 수 없게 해놓은 쉘이기 때문에 계정 정보 파일을 열람한 사진 자체가 잘못되었다고 이야기 하는 것 같다. (관련 글을 찾아보고 이해를 해보려했지만 .. 2022. 3. 5.

[#5] webdav, heartbleed 취약점 webdav 취약점 APi 기반 웹 서비스 -REST API (PUT, GET, POST, DELETE) 툴을 이용해 nikto -h [사이트 주소] 명령어를 실행하면 사이트에 허용된 메소드를 검색할 수 있다. 예시) 해당 값이 아래와 같을 때 앞의 태그들을 제외하곤 취약한 매소드를 발견할 수 있다. GET, HEAD, POST, OPTIONS, TRACE, DELETE, PROPFIND, PROPPATCH, COPY, MOVE, LOCK, UNLOKE, PUT 예를 들어 헤더에 PUT http:/127.0.0.1/web/text.txt라고 입력하고 바디에 내용을 입력하고 전송하면 web 디렉토리에 해당 내용의 텍스트 파일을 만들 수 있다. => 같은 방식으로 같은 서버 측 언어를 작성해 웹쉘을 올릴 수.. 2022. 3. 4.

[#5] Burp Suite 살펴보기 실습하면서 자주 쓰는 툴이지만, 아직 안 써본 기능들에 대한 강의를 참고했다. 1. 자동진단(Intruder) add, clear 로 해당 부분에 페이로드 위치를 지정할 수 있다. Attrack Type에서 Sinper은 페이로드가 1개 이하일 때 지정하는 값이며 나는 두개 이상으로 Cluster bomb를 선택해야한다. 그 다음 Position에서 Payload 칸으로 이동하여 Payload type을 지정해준다. 나는 문자열이기 때문에 Simple list로 설정했으며 위 사진에 페이로드 위치 1,2에따라 set 1,2 에 각각의 설정을 해줄 수 있다. Payload 옵션에 간단하게 3개를 추가해보았다. 보통 Load로 텍스트 파일을 올릴 수 있어 해당 기능을 사용하면 된다. 텍스트 파일은 내가 직접.. 2022. 3. 4.

[20주차] 모바일 앱 해킹 공부 가이드 1. 면접 웹 해킹 5가지 공격들 원리, 왜 일어나는지, 위험, 대응방안 2. 취업모의해킹 컨설팅 업체 vs 기업 모의해킹 팀 *모의 해킹 프로그래밍 언어 = 주 언어는 있으면 좋다 : Python Or javascript 3. Mobile App Hacking 공부 할 것. (프리 기본) - 이유) 프리랜서가 거의 다 먹음. - 구조 Native App , Hybrid App, Web App Web App(60): Wep view 웹 사이트 개발 할 때 반응형으로 개발하고 [개발자 도구]에서 좌측 왼쪽 토글 디바이스 툴 바 누르면 웹을 앱처럼 볼 수 있음 Hybrid App(20-30): 앱 통신 HTTP Web API Native App: TCP 데이터 변조 불가, 함수후킹으로만 가능 *단말기 취약점.. 2022. 3. 3.

[정보보안] 1-2 운영체제의 구조 https://epicarts.tistory.com/52 무차별 대입 공격(hydra, 히드라) 이 글은 교육목적으로 작성하는 것으로 절대 타인의 컴퓨터에 공격을 해서는 안됩니다. 범죄 행위이고 처벌을 받을 수 있습니다. 모든 해킹 행위는 자기 자신에게 책임이 있습니다. 제 블로그는 epicarts.tistory.com https://namu.wiki/w/%EC%85%B8%EC%87%BC%ED%81%AC#s-2 https://www.youtube.com/results?search_query=linux+sell+shock https://www.youtube.com/results?search_query=linux+sell+shock www.youtube.com https://ohs-o.tistory.com/.. 2022. 3. 2.

[정보보안] 1-1 운영체제 이해 및 관리 1. CPU 1) 개념: 입력장치부터 자료를 받아 연산하고 그 결과를 출력장치로 보내는 일련의 과정을 제어 및 조정하는 장치 2) 구성 요소: ALU(연산 장치), Register, Control Unit, 내부 CPU Register:PC, MAR, MBR, IR 버스: 데이터 버스, 주소 버스, 제어 버스 3) 인스트럭션 사이클 패치, 간접, 실행, 인터럽트 2. 메모리 시스템 1) 기억 장치 계층 구조 2) 캐시 메모리 CPU와 주 기억장치의 속도차이를 개선하기 위해 만들어진 고속의 버퍼 메모리. 직접 사상: 여러구역으로 분할하여 Cache 슬롯과 매핑한다. 연관 사상: Main Memory의 각 블록이 Cache의 어느 슬롯이든 적재 가능하다. 집합 연관 사상: 직접 사상/ 연관 사상 절충 방식으.. 2022. 3. 2.

이전 1 ··· 12 13 14 15 16 17 18 ··· 27 다음

티스토리툴바