화이트해커 루나 블로그 💻

유수야,누구나 실수하고, 그 실수 속에서 배우며 살아간단다. 실수에 대한 답은 늘 앞에 있다더라. 그러니 지난 일을 후회하기 보단, 주변에서 만회할 기회를 찾아봐. 반성은 그정도면 족해.  무엇보다, 실수를 두려워하지 마. 까짓것, 그럴 수도 있지. 살다 보면 그럴 수도 있지. 이럴수도 있고, 저럴수도 있는거다. 완벽이란 허상일 뿐이고, 계획이란것도 맘처럼 되질 않는다 원래가.완벽해보이는 아이돌 남자애들도 그러더라. “첫 만남은 너무 어려워. 계획대로 되는 게 없어서.” 해커들의 세계에서도 그러더라. 햄커님은 “빨리하는게 중요한게 아냐. 꾸준히 오랜기간 쌓아가는게 중요하다.”고 말했지.  실수란건 그저 일어난 사건일 뿐, 그것을 통해 우리가 무엇을 배울 것인지가 진정한 의미를 갖는단다. 시행착오를 통해 ..

음원감상 https://drive.google.com/file/d/1iSah3ynVDOiC434ntAEPC8SjsRczaEr1/view?usp=sharing 사랑은 마치 DDOS - 작사LunaSec_작곡AmesianX.mp3 drive.google.com작사 : LunaSec작곡 : AmesianX  사랑은 마치 DDOS 💗  사랑은 마치 DDOS 💗서서히 퍼져나가는 작은 신호가내 마음을 가득 채워 흔들어 놓는다 💓 너에게 향하는 ping을 쏘면 💘내 사랑은 패킷처럼 너에게 퍼져나가고이리저리 헤매는 나의 마음은끊임없이 네 사랑의 흔적을 찾아 💞 사랑은 마치 DDOS하나 둘 쌓여가는 ping의 echo너를 향해 전달되는 엄청난 데이터 💖 서버에 문제가 생기면 널 찾을 수 없어잠시 불안이 내 마..

STB-lsExecutor 포너블 풀이 Patchday Twitter 에서 소스코드가 주어집니다. 이 코드는 주어진 옵션과 경로를 입력 받아서 시스템 명령어를 실행하는 간단한 프로그램입니다. 먼저, "main" 함수는 "EVP_PKEY_CTX" 포인터를 매개변수로 받습니다. 이 함수는 초기화 함수 "init"을 호출한 후, 무한 루프를 실행합니다. 루프는 최대 9번 반복하며, 각 반복에서 사용자에게 옵션과 경로를 입력 받습니다. 사용자로부터 옵션은 "read_data" 함수를 통해 60바이트까지 입력 받고, 이를 "snprintf" 함수를 사용하여 "ls -{입력된 옵션}" 형태로 조합합니다. 그리고 다시 사용자로부터 경로를 입력 받아서 "ls" 명령어와 조합하여 최종 명령어를 만들게 됩니다. 그 후, ..

그누보드6 설치하기 그누보드는 한국에서 폭넓게 사용되는 대표적인 CMS로, 기존 그누보드5 까지는 PHP 기반으로 개발되었는데요. 최근, PHP 대신 Python 언어와 FastAPI 웹 프레임워크를 적용하여 완전히 새로운 형태의 그누보드6가 출시되었다고 하네요 !! 관련 포스팅도 없고.. 너무 궁금해서 직접 설치를 해보았습니다. ^^ -목차- 1. 그누보드6 설치 전 준비사항 2. 그누보드6 설치 3. 그누보드6 실행 4. 그누보드6 데이터베이스 설정 5. 그누보드6 관리자 페이지 1. 그누보드6 설치 전 준비사항 그누보드를 설치하기 전에 다음 사항을 준비해야 합니다 - 파이썬 3.8 이상의 버전이 필요합니다. 파이썬이 설치되어 있지 않은 경우 최신 버전을 설치해야 합니다. - Git을 사용한 설치를 ..

[wargame.kr] dmbs335 PHP 소스 코드를 분석하면 SQL Injection 취약점이 발생하는 것을 확인할 수 있습니다. 사용자로부터 입력 받은 변수들이 SQL 쿼리의 일부로 사용되기 때문에 발생하는 취약점입니다. 1. 파라미터(Parameter) 및 매개변수(Argument) 문제에서 제공된 접속 정보로 접속하면, 다음과 같은 화면이 표시됩니다. 서치 버튼을 클릭하면, 파라미터(Parameter) 및 매개변수(Argument)를 분석할 수 있습니다. 파라미터 search_cols, keyword, operator와 같은 쿼리 문자열의 일부입니다. URL에서 ? 이후의 부분인 search_cols=subject&keyword=&operator=or은 쿼리 문자열로, 각각의 파라미터와 그 값..

RSA와 중국인의 나머지 정리(CRT) RSA(Rivest-Shamir-Adleman)는 공개키 암호화 알고리즘 중 하나로, 안전한 통신을 위해 사용됩니다. RSA에서는 두 개의 큰 소수 ( p )와 ( q )를 선택하여 이들의 곱으로 ( N )을 생성합니다. 즉, ( N = p \times q )입니다. 이 ( N )은 공개키로 사용되며, 암호화에 필요합니다. 공개키와 개인키를 생성하기 위해 오일러의 피 함수 ( \phi(N) = (p-1)(q-1) )을 계산하고, 이를 이용하여 공개키 ( e )와 개인키 ( d )를 계산합니다. 여기서 ( e )는 ( \phi(N) )과 서로소인 임의의 정수이며, ( d )는 ( e )에 대한 모듈러 역수로서 ( e \times d \equiv 1 \pmod{\phi..

해당 문제는 Dreamhack CTF Season 4 Round #2 (🌱Div2) 에 출제된 문제입니다. 1. 프로그램 분석 주어진 문제파일을 다운로드한 뒤, 자세한 분석을 위해 디컴파일 했습니다. 소스코드 입니다. undefined8 main(void) { int iVar1; // 정수형 변수 iVar1 선언 size_t sVar2; // 문자열 길이를 저장할 변수 sVar2 선언 int local_14; // 지역 변수 local_14 선언 int local_10; // 지역 변수 local_10 선언 int local_c; // 지역 변수 local_c 선언 puts("Input: "); // "Input: " 메시지 출력 __isoc99_scanf(&DAT_00102010, input); // ..

Relative Path Overwrite 취약점 Relative Path Overwrite(상대적 경로 덮어쓰기)는 보안 취약점 중 하나로, 주로 웹 애플리케이션에서 발생합니다. 이 취약점은 파일 시스템에서 상대적인 경로를 이용하여 파일을 덮어쓸 수 있는 상황을 이용합니다. 보통 이 취약점은 웹 애플리케이션에서 사용자로부터 입력을 받아 파일 경로를 생성하거나 조작할 때 발생합니다. 사용자 입력이 적절한 검증 없이 파일 경로에 사용되는 경우, 공격자는 상대적인 경로를 이용하여 원하지 않는 파일을 덮어쓸 수 있습니다. 예를 들어, 웹 애플리케이션이 파일을 업로드하고 이를 사용자에게 다운로드할 수 있는 기능을 제공한다고 가정해봅시다. 그러나 파일 경로 생성에 사용된 코드에 취약점이 있다면, 공격자는 업로드한..

이번 문제에서는 PHP로 작성된 Back Office 서비스에서 발생하는 Local File Inclusion (LFI) 취약점을 이용하여 /var/www/uploads/flag.php 파일에 위치한 플래그를 획득하는 것이 목표입니다. LFI 취약점이란? LFI(Local File Inclusion) 취약점은 웹 브라우저를 통해 서버에 파일을 포함시키는 과정입니다. 이 취약점은 웹 어플리케이션에서 사용자 입력값을 적절하게 필터링하지 않아 디렉토리 변경 명령어들의 삽입을 허용했을 때 일어납니다. php-1 풀이 1. /index.php PHP Back Office 서비스의 메인 페이지해당 HTML 코드는 PHP Back Office 서비스의 메인 페이지를 나타냅니다. 여기서 중요한 부분은 다음과 같습니다...

Shodan은 심층적인 디지털 탐색 및 해킹 커뮤니티에서 폭넓게 사용되는 검색 엔진으로, 글로벌 네트워크 상에 연결된 모든 장치와 서버의 민감한 정보를 제공합니다. 이 독특한 플랫폼은 취약한 시스템 식별, 보안 취약점 평가, 그리고 해킹 활동에 활용되며, 전 세계적으로 디지털 보안 전문가들에게 핵심적인 역할을 하고 있습니다. 주소 : shodan.io 일반 all 모든 결과 asn 자체 표기된 자동화 시스템 네트워크 (ASN) city 도시 country 국가 cpe 공통 플랫폼 엔트리 (CPE) device 기기 geo 지리적 위치 has_ipv6 IPv6 지원 여부 has_screenshot 스크린샷 여부 has_ssl SSL 지원 여부 has_vuln 취약점 여부 hash 해시값 hostname 호..