O'bin and the Chocolate Factory

- 익스플로잇(Exploit) : '부당하게 이용하다'라는 뜻으로, 해킹 분야에서는 상대 시스템을 공격하는 것을 말함 - 셸코드 : 익스플로잇을 위해 제작된 어셈블리 코드 조각. 일반적으로 셸을 획득하기 위한 목적으로 셸코드를 사용 셸코드 공유 사이트 : http://shell-storm.org/shellcode/ 셸코드는 공격을 수행할 대상 아키텍처와 운영체제에 따라, 셸코드의 목적에 따라 다르게 작성해야 함 => 따라서 직접 상황에 맞추어 작성하는 것이 제일 좋음 - orw(open-read-write) 셸코드 파일을 열고, 읽은 뒤 화면에 출력해주는 셸코드 “/tmp/flag”를 읽는 동작을 하는 c언어 코드 line3) int fd = open(“/tmp/flag”, O_RDONLY, NULL) ..

답 Welcome to assembly world! 답 B

0707 문제 : FTK Imager에서 디스크 마운트 및 증거 추가를 완료하였다. Evidence Tree 에서 삭제된 파일 리스트를 확인할 수 있는 폴더는? 나의 답 : Recycle.bin 정답 : root 해설 : 나의 답은 휴지통을 생각했는데, 그 전에 root 폴더에서 먼저 삭제된 파일들의 목록을 확인할 수 있다. 문제 : FTK Imager에서 메모리 덤프를 진행했는데 갑자기 노트북이 강제종료 되었다. 해당 오류를 해결하여 무사히 메모리 덤프를 진행하려면 어떻게 해야 하는가? 나의 답 : 커널 메모리 덤프 정보 사용 정답 : 가상화 모드 해제 해설 : 문제 이해를 잘못했다. 메모리 덤프 진행 도중 강제 종료되었을때 이어서 덤프를 진행하는 방법에 대한 질문으로 오해하고 커널 메모리 덤프 정보를..

1. FTK Imager 디스크 이미징 후 디스크 마운트를 통해 해당 디스크의 정보를 확인할 수 있다. FTK Imager로 해당 디스크에서 삭제된 파일을 확인할 수 도 있는데, 삭제된 파일은 붉은 x표시가 된 파일 그림으로 표시된다. 파일 사이즈가 0또는 1인 것으로 보아 내용은 남아있지 않고 파일 껍데기만 남은 것을 알 수 있다. Export Files를 눌러 삭제된 파일 복구를 진행한다. 왼쪽과 같은 복구 성공 메세지 확인 후 지정한 경로로 들어가 보면 삭제된 파일이 성공적으로 복구된 것을 볼 수 있다. 지정한 복구 위치에 해당 파일이 복구되었다. 앞서 예상한 것과 같이 파일 크기는 0으로 내용은 날아가고 단지 껍데기만 남은 파일이다. 2. autopsy로 디스크 이미징한 E01 파일 분석 결과 사..

디지털 포렌식 대상 : 컴퓨터, 디스크, 메모리, (네트워크 장비 등...) 디스크 이미징 : 디스크를 파일의 형태로 만들어 가져오는 것 디스크 마운트 : 디스크 이미징된 파일을 내 컴퓨터에 드라이브로 등록하는 것 메모리 덤프 : 특정 시점의 메모리 상태를 사진 찍듯이 가져오는 것, 켜져 있는 컴퓨터 수사 시 사용 디지털 포렌식 도구 설치 및 실습 1. FTK Imager 디스크 이미징, 마운트, 메모리 덤프 도구 physical drive -> next -> 드라이브 선택 -> finish Image Destination에서 Add.. 클릭 -> 이미지 타입 중 E01(더 압축된 타입임) 선택 -> Image Destionation 폴더 위치 선택, Image fragment size 0으로 설정(= ..

메모리 포렌식 진행 위한 도구 설치, 환경 설정, 문제 다운로드 1. Volatility 설치 https://www.volatilityfoundation.org/26 Volatility 2.6 Release Volatility 2.6 - an advanced memory forensics framework www.volatilityfoundation.org 다운로드 후 압축 해제 2. 시스템 환경변수 설정 시스템 환경변수에 등록해 두면 어느 경로에 있든지 해당 파일 접근 가능 시스템 환경변수 편집기 열기 -> 환경변수(N) -> 시스템 변수(S) 목록에서 Path 찾아 더블클릭 -> volatility.exe 파일의 위치 추가 -> 확인 -> 확인 -> 확인 3. windows terminal 설치 윈도..

- 시스템 해킹 로드맵 수강 위한 기초 능력 시스템 해킹에 필요한 기초 c언어, python 해석 능력 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 //"Welcome Hackers :)"가 출력되는 입력값을 찾아보자 #include #include #include int main() { int sz = 0x30; // 0x30은 십진수로 48 char *buf = (char *)malloc(sizeof(char) * sz); // 문자열 메모리 할당 puts("Hello World!"); // puts는 문자열만 출력 가능 printf("Education + Hack = ?\\n"); // printf는 정수,실수,문자(열) 출력 가능 fgets(bu..

1. 데이터 정수 자료형 byte(1byte 0~255) short(2byte -3만~3만) int(4byte -21억~21억) long(8byte) sbyte(1byte -128~127) ushort(2byte 0~6만) uint(4byte 0~43억) ulong(8byte) - 효율적인 메모리 이용 위해 크기 맞는 자료형 사용해야 함 - byte형 underflow 주의 byte a=0; a--; //a=255 - 음수는 이진법에서 2의 보수 방식으로 표현, 최상위비트 1이면 음수 - bool 타입(참/거짓)은 1byte 소수 자료형 - float 4byte - double 8byte -> 더 정밀, 큰 범위 문자 자료형 : char 2byte 문자열 자료형 : string 형변환 : 명시적 형변환(..

파일 목록 확인 문제 코드 확인 gdb로 main 함수 분석 메모리 주소 확인 후 익스플로잇

id : skeleton pw : shellcoder 1. 문제 파일 내용 확인 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 [skeleton@localhost skeleton]$ ls // 파일 목록 확인 golem golem.c [skeleton@localhost skeleton]$ cat golem.c // golem.c 내용 확인 /* The Lord of the BOF : The Fellowship of the BOF - golem - stack destroyer */ #include #include extern char **environ; main(in..