정보보안 (43) 썸네일형 리스트형 01_HTML Injection bWAPP에 로그인해주자 칼리랑 비왑 버프슈트를 실행했음 프록시설정 칼리가 B에 접근할 때, 버프슈트 들러서 B로 접근 버프슈트는 중간에서 패킷을 가로챔 kali -> B 로 요청을 보낼떄, 버프슈트가 요청을 가로채서 갖고있음 버프키고 옴션에 서브리스폰스 끄고 브라우저 비왑 접속해서 로그인하고 html injection get 누르고 hack 01_HTML Injection 1. HTML(Hypertext Markup Language) - 참고 사이트 : https://developer.mozilla.org/ko/docs/Learn/HTML/Introduction_to_HTML/Getting_started 1) HTTP 메세지(메소드) 유형 - get : HTTP 헤더에 정보(파라메터)를 포함시켜서 전송.. WEB_01_필기 리눅스로 웹서버를 만들어보자 아파치 웹서버 GPT 파티션 분석 @ GPT 파티션 분석 - 사용 도구 : HxD - 실습 파일 : GPT - GPT는 1번 섹터에 GPT 헤더 정보(92Byte)가 있으며, 2번 섹터에 파티션 정보(128Byte 단위)가 있다. 1. HxD를 이용하여 'GPT' 파일을 오픈한다. - HxD -> Extras -> Open disk image -> 'GPT' 파일 선택 -> Sector Size 'OK' 버튼 클릭 2. 첫번째 파티션(0x01BE ~ 0X01CD) 영역을 확인하여 파티션 파일시스템 타입 및 GPT 섹터 위치를 확인한다. - 파티션 파일시스템 타입(0x01C2)이 '0xEE'이므로 EFI GTP DISK 타입니다. - LBA 시작 주소(0x01C6~0x01C9)는 '01 00 00 00'이므로 1번 섹터(00 00 00 0.. NTFS 다중 파티션 분석 NTFS 다중 파티션 분석 - 사용 도구 : AccessData FTK Imager, HxD - 분석 파일 : NTFS 다중 파티션.001 1. Paritition 1[50M] VBR 시작 주소 00 04 01 00 07 03 20 32 80 00 00 00 00 90 01 00 00 1byte 파티션 부트 플래그 (0x80 : 부팅 O, 0x00 : 부팅 X) 04 01 00 3byte CHS 시작 주소 (현재 사용 X) 07 1byte 파티션 파일시스템 타입 (0x07 : NTFS) 03 20 32 3byte CHS 끝 주소 (현재 사용 X) 80 00 00 00 4byte VBR 시작 주소 : 00 00 00 00 80 -> 128 00 90 01 00 4byte 파티션의 총 섹터 개수 : 00 0.. 하드 디스크 구조 및 MBR 하드 디스크 구조 및 MBR - 사용 도구 : AccessData FTK Imager, HxD - 분석 파일 : MBR.001 1. 하드 디스크 구조 - 플래터 : 실제로 데이터가 저장되는 영역 - 스핀들 모터 : 플래터를 회전하는 모터 - 헤드 : 실제 데이터를 읽기/쓰기 담당 - 엑츄에이터 암 : 헤드를 데이터가 있는 위치로 이동 담당 - 커넥터 : 전원 공급/데이터 전송 담당 - 트랙 : 섹터 단위의 모음이며 원심 전체가 트랙이 됨 - 섹터 : 하드디스크의 물리적인 최소 단위(기본 : 512Byte) - 트랙 섹터 : 같은 구역에 있는 섹터 집합 - 클러스터 : 섹터를 일정 크기로 묶어서 데이터의 입출력 단위 지정 2. 슬랙(Slack) - RAM Slack : 섹터에 남는 비 할당 영역 - Fil.. 고객 정보를 유출한 증거 수집 고객 정보를 유출한 증거 수집 - 수집정보 : 디스크 이미지('Linux.E01' 파일), 직원 전화번호(02-740-1809) - 파티션1 내용 확인 가능 - 파티션5 암호화되어 있음 우선 FTK Imager으로 Linux.E01을 열어보자. 다음과 같이 파티션이 Partition1, Partition3, Partition5으로 나누어져있고, 5번 파티션은 암호화되어 열리지 않는것을 확인할 수 있다. 우선 Partition 1을 확인해보자. Ext3 -> 리눅스 파일시스템 파티션5는 다음과 같이 lux를 이용해 암호화됨 partition6은 별 내용이 없어서 생략하겠다. 1. 'truecrypt' 설치 및 검색 흔적 - home -> kinfo -> '.bash_history' 파일 파일 명 앞에 '... ㅁ 메모리는 pc가 꺼지면 같이 사라지므로 pc가 켜져있는 상태에서 메모리를 덤프한 후 그 파일로 분석을 진행해야함 FTK imager를 이용해 저렇게 메모리를 캡쳐해서 분석하면됨 볼리티리티를 이용한 메모리 분석2 _ memdump2.vmem 볼리티리티를 이용한 메모리 분석2 - 분석 파일 : memdump2.vmem - OS 버전 : WinXPSP3x86 볼라티리티 도움말 확인 vol.py --help vol.py --help > help.txt 2. 운영체제 이미지 정보 확인 vol.py -f memdump2.vmem imageinfo > 추출물2\imageinfo.txt 추출한 imageinfo.txt 파일을 notepad ++ 으로 오픈해서 열어보자 3. 프로세스 정보 확인 vol.py -f memdump2.vmem --profile=WinXPSP3x86 pstree > 추출물2\pstree.txt vol.py -f memdump2.vmem --profile=WinXPSP3x86 psscan > 추출물2\psscan.txt vol.py.. 이전 1 2 3 4 ··· 6 다음
