Everything is hacked.

There is no 100 % security.

Training 8

PortSwigger Academy

보안 툴하면 가장 먼저 생각나는 툴인 Burpsuite (이하 버프슈트) 는 'PortSwigger' 社 에서 만든 프록시 웹 취약점 점검 도구다.  해당 도구는 2024년 현재 '웹 취약점 도구' 라고 하면 가장 강력하고 가장 많이 사용하는 모의해킹 프로그램이라고 볼 수 있을 것이다. 필자 본인도 PortSwigger 는 '취약점 점검 도구' 인 'Burpsuiter' 을 개발을 하는 회사라 수 많은 취약점과 연관이 없다고 (물론 취약점 점검 도구를 만든 순간부터 아예 없다고 보긴 어렵겠다만...) 생각했으나 버프슈트 프로의 정식 가격이 생각보다 얼마 안된다는 정보에 확인 차 본 홈페이지에 접근하고 나서 그 생각을 달리 먹는 계기가 되었다.PortSwigger 에서는 우리가 알고있는 취약점 점검 도구인..

Collision

최근 Javascript 의 기본 개념 학습과 버그바운티를 진행하며 깨달은 것은 어느정도 CTF 문제 풀이가 필요하다는 것이다. 완벽하게 순위권에 드는 사람은 아니더라도 어느정도 익숙하게 할 필요성을 깨달았다.첫 문제를 스근하게 풀고나서 두 번째 문제를 진행해보고자 마음먹고 진행했는데... 그냥 보이는 것만 확인하고 풀면 되지만 본인 성격 상 그러지 못하여 어느정도 시간이 더 걸리게 되었다.해당 문제의 이름은 'collision'.단어의 뜻은 '충돌' 이라는 뜻으로 문제 내용을 미루어볼 때, 쿨-한 MD5 해시가 충돌이났고, 그것과 연관된 문제라고 추측해보았다.그럼 문제에 접속해서 한번 풀어보자.해당 문제에서 확인 가능한 파일은 총 3개로 col, col.c, flag 파일이다. 이전 문제와 마찬가지로 ..

Training/Pwnable.kr 2024.07.18

File Description

개인적으로 코드 분석 능력이 최근 퇴화한 것처럼 크게 느껴지고 가끔 진행하는 CTF 에서도 웹 해킹이나 모바일 문제 이외 (리버싱 문제도 못푸는 것은 아니나 푼다고 보는 수준은 아닌거 같아서) 그나마 접점이 있는 포너블 문제를 풀어보고자 했다. 최근 안좋은 일들이 겹겹사로 내가 하는 것들에 대한 Refresh 가 필요하기도 했고... 그래서 하나씩 해보려 한다. (그게 끝까지 될 가능성...이 완벽하게 있진 않지만 시작하는게 어딘가 하니.)각설하고 우선 해당 문제 내용을 살펴보자.해당 문제는 리눅스에서 사용되는 파일 디스크립터에 대해 묻고 있다. (물론 그걸 물어보는게 아니겠지만.)리눅스에서 이용되는 파일 디스크립터 라고 명시해 줬다는 것은 그것과 연관있기 때문에 작성했다 라는 것을 알 수 있다. 그럼 ..

Training/Pwnable.kr 2024.06.13

First Blood

Dreamhack 을 알게된지 약 1년정도 지났다.Dreamhack 은 소위 '천상계 해커 모임' 이라고 불리는 'Theori' 에서 만들게 된 교육 플랫폼이며 해킹에 필요한 기본 기술소양에 대해 정리하고 그것에 대한 문제도 제공하는 서비스 및 플랫폼이다. 내가 대학교때 해당 사이트를 알았으면 지금보다 즐기면서 공부할 수 있지 않았었을까 하는 그런 플랫폼이였다. 드림핵 콘텐츠 팀 소개 : https://blog.theori.io/people-interview-dhc-6c2a17c5fbb2 Theori 팀 인터뷰🎤_bincat (드림핵 콘텐츠 팀) 모두가 세상을 안전하게 만들 수 있도록 도움을 주는 팀, 티오리 팀 인터뷰 첫 번째 주자는 사이버 보안 교육 커뮤니티 드림핵 콘텐츠 팀의 bincat입니다. b..

Training/DreamHack 2023.12.11

Dreamhack Study

본인은 드림핵에 대해 알게된지 2년이 훨씬 지났다. 21년도에 알았지만, 당시에 부족한 부분을 더 채울 수 있을거라 생각하며 강의를 보고 노션에 정리하였으나 시간이 갈 수록 이런 일 저런 일이 많아 바빠짐과 동시에 더 많은 글을 작성하지 못하였다. 해당 노션을 확인한건 지금 글을 쓰고 있는 당일인데, 아무래도 해당 글에 대한 정리가 Tistory 내 작성이 필요할 것이라 판단하여 작성하게 되었다. DreamHack List - First Blood First Blood Dreamhack 을 알게된지 약 1년정도 지났다.Dreamhack 은 소위 '천상계 해커 모임' 이라고 불리는 'Theori' 에서 만들게 된 교육 플랫폼이며 해킹에 필요한 기본 기술소양에 대해 정리하고 그것에 대한 문 tistory.k..

Training/DreamHack 2023.12.09

Encoding

Encoding Concept 인코딩은 특정 한 형식의 데이터를 다른 형식으로 변환하는 기술이나 과정을 의미한다. 모의해킹 컨설팅을 진행하면 해당 용어를 당연하게 사용하는데, 해당 용어는 Character Encoding 으로 문자 인코딩을 의미한다. 문자인코딩, Character Encoding 은 사용자가 입력한 문자나 기호들을 컴퓨터가 이용할 수 있는 신호로 만드는 것을 뜻 한다. 인코딩과 반대로 "Decoding - 디코딩" 이라는 용어도 존재하는데 디코딩은 인코딩 형식을 본래 형식으로 변환하는 기술이나 과정을 의미한다. 사용 이유 초반 웹 어플리케이션 환경에서 ASCII 코드 기반 알파벳 또는 일부 특수문자가 아닌 문자를 표기해야하는 요구사항이 존재하지 않았으나, 인터넷의 배포로 사용자가 많아지..

Cookie & Session

Cookie - 쿠키 : 하이퍼 텍스트 기록서의 일종으로 인터넷 사용자가 특정 웹 사이트 방문 시 해당 사이트가 사용하고 있는 서버를 통해 인터넷 사용자의 컴퓨터에 설치되는 작은 기록 정보 파일을 정의. HTTP 쿠키, 웹 쿠키, 브라우저 쿠키 라고도 한다. 쿠키는 특정 사이트 이용자가 사이트 방문 시 클라이언트 단에 저장되는 key=value 쌍의 문자열로 구성되는 임시 파일이다. 웹 브라우저는 동일 서버에서 재 요청이 발생하는 경우 저장된 쿠키 데이터를 Cookie 요청 헤더에 포함시켜 전송한다. HTTP 프로토콜은 Stateless - 비상태성 특성으로 인해 클라이언트 단 요청이 연속적으로 이루어지므로 동일 사용자 요청 여부 식별이나 웹 사이트 내 사용자 상태의 기억을 위해 만들어졌다. 쿠키의 경우..

Web & HTTP

웹의 이해 / HTTP 웹 정의 : 인터넷의 하위 개념 : WWW (World Wide Web). 특수 형식 문서 - HTML, 이미지, 동영상 등의 웹 리소스를 인터넷과 하이퍼 텍스트를 통해 서로 연결한 시스템. 인터넷과 웹은 다른 개념이며 인터넷은 TCP/IP 프로토콜을 통해 연결되어있는 대규모 글로벌 네트워크다. 1989년경 Tim Berners-Lee 가 데이터를 쉬운 방법으로 공유할 수 있도록 웹을 발명했다. 웹 리소스 : 웹을 통해 요청되는 대상 : Web Resource → 웹에서 사용되는 모든 컨텐츠 (ex. HTML, CSS, Javascript, Text, Image) 리소스 식별 웹 리소스는 URI 로 식별한다. - Uniform Resource Identifier, 통합 리소스 식별..