Endpoint 엔드포인트란?데이터 통신을 위한 네트워크 연결에 사용되는 물리적 혹은 가상 디바이스 Core Windows Processes  core windows processes를 알기 전에 Task Manager의 윈도우 프로세스를 알아보자Task Manager(작업 관리자)는 윈도우의 빌트인 유틸리티이고 윈도우에서 실행 중인 프로세스와 사용 중인 자원(CPU, 메모리)을 확인할 수 있다.> 기호는 프로세스의 부모-자식 관계를 나타냄. 예를 들면 Systme > smss.exe Sysinternals이번엔 윈도우의 백그라운드에서 실행 중인 아티팩트를 분석해 보자, Sysinternals은 70개 이상의 윈도우 기반 툴의 모음이다. 각 기능들은 아래의 카테고리로 분류할 수 있음File and Dis..

이번 juicy details 룸은 공격이 발생한 네트워크 로그 파일을 분석해서공격자가 사용한 기술과 툴, 취약한 엔드포인트, 액세스 된/탈취된 중요 데이터를 파악하면 된다첨부된 로그 파일을 분석해서 알아보자Reconnaissance1. What tools did the attacker use? (Order by the occurrence in the log)  공격자가 사용한 툴을 찾는 문제다. 로그 목록이 엄청 길긴 하지만 Nmap, Hydra, sqlmap 등 툴 이름을 찾을 수 있었다: nmap, hydra, sqlmap, curl, feroxbuster 2. What endpoint was vulnerable to a brute-force attack? brute force 공격에 취약한 엔드포..

Reconnaissance  레콘이란?잠재적 타깃에게 본격적으로 공격을 실행하기 전에 정보를 수집하는 과정을 의미한다. 타깃의 취약점이나 성능과 기능을 파악할 수 있기 때문에 전략을 계획하고 더 정교한 공격을 하는데 도움이 된다레콘은 Active/Passive 이렇데 두 가지로 분류됨Active Reconnaissance: 직접적으로 타깃 지점에 접근해서 정보를 얻을 수 있지만 스스로를 드러내게 됨Passive Reconnaissance: 거리를 두고 정보를 얻는 방식이고 스스로를 드러내지 않으면서 리소스를 얻음 Passive Reconnaissance시스템에 직접적으로 접근하지 않고 공개 소스에서 데이터를 얻거나 스스로를 나타내지 않은 채 트래픽을 인터셉트하는 방식이다. 이외에도 Wireshark를 이..

최근 며칠 동안 계속 웹해킹 랩만 풀었더니 리버싱이 약간 그리워져서tryhackme의 리버싱 랩을 하나 풀어봤다 근데 문제가 8개여서 시간은 꽤 소요되었음 8개의 crackme1~crackme8 파일에서 각각 플래그를 찾아내면 된다!  Crackme 1일단 파워쉘에서 strings을 출력했지만 힌트라고 할만한 정보는 찾지 못했다나중에 안건데 ELF 파일이어서 그런지 파워쉘에서는 분석이 제대로 안되는 것 같다   별 수확이 없어서 칼리리눅스에서 시도해봤음chmod +x [file] 파일 실행권한을 추가하고 바로 ./crackme1 이렇게 실행하니까 바로 플래그를 찾았다  Crackme 2 1번 문제와 마찬가지로 실행 권한을 추가하고 실행했는데 이번엔 패스워드가 필요하다strings 명령어로 플래그 획득 성..

리버싱 문제를 풀려고 gdb를 설치하는데 Sub-process /usr/bin/dpkg returned an error code (1) 이렇게 에러 코드를 받은 상황apt, dpkg 패키지 설치에 문제가 있어 기능들이 다 죽고 설치가 안 돼서 의존성 문제가 발생함 sudo rm /var/lib/dpkg/info/*sudo dpkg --configure -asudo apt-get update sudo rm /var/lib/dpkg/info/*sudo dpkg --configure -asudo apt-get update -y 이 세 명령어를 실행하면 info 디렉토리를 삭제하고 dpkg 명령어 실행, apt update가 된다다시  dbg 설치를 시도하니 성공

이전 포스팅에서 LLM 취약점과 공격 예시 이론을 다루었다오늘은 LLM API의 취약점을 공격해서 carlos 계정을 삭제하는 실습을 해보겠음  상품 판매하는 쇼핑 웹사이트인데 오른쪽 상단에 있는 Live Chat을 들어간다 챗봇이나 심심이처럼 정해진 답을 하는게 아닌, 실제 AI와 유사하게 답변을 해준다사용자와 인터렉티브한 소통이 가능하니 프롬프트로 공격하면 되겠다 이 랩의 이름에서 LLM API라고 알려주니까 API정보를 먼저 얻어야겠다어떤 API에 액세스가 되어있는지 물어보니까 password_reset, debug_sql, product_info 이렇게 3개의 API를 알려줌  비밀번호 초기화가 아니라 carlos 계정 자체를 삭제해야 하니까 첫 번째 api는 아니고,debug_sql을 더 살펴봐..