분류 전체보기 (49) 썸네일형 리스트형 [Dreamhack] Another Ping DescriptopnWhat? Another, yet boring ping utility?Write-UpStep1) 문제 사이트를 확인해 봤을 때 ping 명령어가 실행되어 ping 테스트를 할 수 있는 사이트인 것을 볼 수 있다. Step2) 해당 커맨드를 보고 생각난 것은 명령어 연결 연산자를 이용해서 여러개의 명령어를 한번에 입력하여 실행시켜서 공격이 가능한 커맨드 인젝션 공격이 생각났다. 예를 들어 명령어 연결 연산자(;, &&, |)를 이용하여 아래와 같이 명령어를 연결시켜 실행시키는 방법이다.ping 8.8.8.8 | ls Step3) 명령어 연결 연산자 사용이 가능한지 확인을 위해 입력해봤는데 에러가 발생하는 것을 확인했다. Step4) 문제에서 제공한 문제 파일을 열어 app.py 코드를 .. [Knowledge] Active Directory(AD) 들어가기 전Active Directory(AD)와 도메인 컨트롤러(DC) 그리고 AD(Active Directory) 환경에서 조직 전체의 사용자 계정을 확인할 수 있는 명령어에 대해서 알아보자1. Active Directory(AD)란?마이크로소프트가 만든 조직용 계정/자원 관리 시스템회사·학교 같은 곳에서 사람, 컴퓨터, 프린터, 네트워크 자원을 한 곳에서 통합 관리할 수 있도록 도와줌AD를 운영하는 서버를 도메인 컨트롤러(DC) 라고 부름Active Directory의 데이터베이스 파일이 저장되는 기본 위치는, 도메인 컨트롤러(DC) 의 C:\Winodws\NTDS라는 폴더에 저장됨1.1. AD에서 하는 일1) 계정 관리직원(사용자) 계정 생성/삭제비밀번호 정책(예: 90일 마다 변경, 복잡성 규.. [Knowledge] 쿠키(Cookie)와 세션(Session) Introduction클라이언트의 상태 정보를 유지하기 위한 별도의 기술이 필요한데 이를 해결하기 위한 대표적인 방식이 바로 쿠키와 세션이다.두 기술 모두 클라이언트 식별 및 상태 유지를 위한 수단이지만, 저장 위치와 보안성, 용도에 따라 차이가 존재한다.이 글에서는 쿠키와 세션의 구조, 차이점, 보안 관점에서의 고려사항까지 함께 살펴보자쿠키(Cookie) VS 세션(Session)1. 쿠키(cookie)란?클라이언트(브라우저)에 상태 정보를 저장하는 방식이다. 쿠키는 사용자들이 웹 사이트를 편리하게 이용할 수 있도록 하기 위한 목적으로 만들어졌으며, 사용자가 인터넷 웹 사이트에 방문할 때 생기는 4KB 이하의 파일을 말한다. 쿠키에는 사용자와 웹 사이트를 연결해 주는 정보가 담겨져 있기 때문에 나중에 .. [Knowledge] 캐시(Cache)와 캐싱(Caching) Introduction현대의 컴퓨터 시스템이나 웹 서비스에서는 속도와 성능이 핵심이다. 사용자가 웹사이트를 클릭했을 때 페이지가 빠르게 뜨고, 서버가 반복된 요청을 효율적으로 처리하기 위해서는 데이터를 얼마나 효율적으로 저장하고 불러오는지가 매우 중요하다.이때 등장하는 개념이 바로 캐시(Cache)와 캐싱(Caching)이다. 두 용어는 비슷하게 들리지만, 엄연히 다른 의미를 가지고 있다. 실무에서 혼용되는 경우도 많지만, 정확히 구분하고 이해하는 것이 중요하다.때문에 이 글에서는 캐시와 캐싱의 차이점에 대해 함께 살펴보자Cache VS Caching1. 캐시(cache)란?캐시는 자주 사용하는 데이터를 빠르게 불러오기 위해 임시로 저장해두는 저장소 또는 데이터 자체를 의미한다. 예시:웹 브라우저의 캐시.. [Knowledge] Basic 인증과 Bearer 인증 Introduction웹 사이트나 앱에서 로그인하고 서비스를 이용할 수 있는 이유는 바로 인증(Authentication) 덕분이다.하지만 인증 방식에도 여러 종류가 있는데, 그중에서도 Basic 인증과 Bearer 인증에 대해 작성해봤다.1. 인증(Authentication) 이란?웹 서버는 누구든 접속할 수 있게 열려 있지만,특정 정보나 기능은 허가된 사람만 쓸 수 있도록 제한하고 싶을 때가 많다.이때 "너 누구야?" 하고 신원을 확인하는 것이 바로 인증이다.2. Basic 인증이란?Basic 인증은 웹 서버에서 사용자에게 아이디와 비밀번호를 요구하여, 그 정보를 바탕으로 사용자의 신원을 확인하는 아주 단순한 인증 방식이다. 특징적으로, 이 방식은 아이디와 비밀번호를 문자열로 붙인 다음, 그것을 Ba.. [Dreamhack] pybycodets Description이게 Python....? Blitz CTF 문제였다.Write-up Step1) 문제 파일 압축을 풀어보면 총 3개의 파일이 존재한다. main.txt와 hard2rev.txt에는 바이트 코드 형식으로 작성되어 있다.(❓바이트 코드 : 고급 언어로 작성된 소스 코드를 가상머신이 이해할 수 있는 중간 코드로 컴파일한 것을 말한다.)// main.txt 4 0 LOAD_CONST 1 (** FLAG censored **) 2 STORE_FAST 0 (v1) 5 4 LOAD_GLOBAL 0 (list) 6 LOAD_FAS.. [Hacking Tools] GCC 설치 방법 IntroductionGCC는 GNU Compiler Collection의 약자로 C, C++, Objective-C, Fortran, Ada, Go 등 여러 언어를 지원하는 오픈소스 컴파일러 모음이다. 하지만 일반적으로 말하는 gcc는 보통 C언어 컴파일러를 의미한다.Preferences1) 아래 링크로 접근하여 Download 부분을 찾아 다운로드를 진행해준다. WinLibs - GCC+MinGW-w64 compiler for WindowsWinLibs standalone build of GCC and MinGW-w64 for Windows Jump to: Download | How to use from Windows Command Prompt | How to use from Code::Block.. [Hacking Tools] Radare2 설치 방법 Introduction1) radare2는 바이너리 분석, 디버깅, 패치 등을 지원하는 리버싱 프레임워크이다.2) Android의 .so 파일(네이티브 라이브러리) 분석 시 강력한 정적 분석 도구로 사용된다.가3) 볍고 CLI 기반이며, 자동 분석 기능과 풍부한 스크립트 인터페이스를 제공한다.Preferences1. 아래 링크에서 각 컴퓨터 환경에 맞게 설치해주면 된다. 필자는 윈도우 환경이기 때문에 radare2-5.9.8-w64.zip 다운 받았다. Releases · radareorg/radare2UNIX-like reverse engineering framework and command-line toolset - radareorg/radare2github.com 2. 이후 적절한 위치에서 zip.. 이전 1 2 3 4 ··· 7 다음
