오랜만에 풀어보는 워게임이다웹해킹이 아닌 리눅스 환경 문제풀이! 일단 vpn이랑 가상머신에 연결하기그리고 nmap 명령어로 타깃 ip을 스캐닝해보자 namp -sV ftp, ssh, http 이렇게 3개의 포트에 서비스가 돌아가고 있다http도 있으니까 웹 서비스가 있을것같아서 ip 주소를 url에 입력해보니이렇게 웹 사이트가 뜬다 여기선 별 소득이 없다다시 터미널로 돌아가겠음 ftp 서비스에 접속하자ftp의 디폴트 네임은 anonymous여서 이걸 입력하니 접속 성공그리고 ls 명령어로 파일 리스트를 보니 locks.txt task.txt 두개가 있음 get locks.txt 이렇게 두개의 파일 둘다 다운로드 받자 task.txt 내용을 보니 -lin 이라고 적혀있다taks list 저자명이 ..

내부 시스템 데이터를 가져와 재고를 확인하는 기능이다재고확인을 하는 URL을 어드민 인터페이스 접근하도록 바꿔서 carlos 계정을 삭제하는 시나리오위치는 임의로 런던으로 세팅한 후 재고확인을 하는 파켓을 burpsuite에서 인터셉트해보자stockApi=http%3A%2F%2Fstock.weliketoshop.net%3A8080%2Fproduct%2Fstock%2Fcheck%3FproductId%3D3%26storeId%3D1POST 메소드로 재고확인하는 파켓을 살펴보자stockApi 파라미터를 보면 storeId도 있고 url의 형식이 있다리피터에서 변조하자 아무런 필터링 우회없이 접근을 시도하니 당연히 400 Bad Request로 막힌다blocked for security reason 을 보니 블..

지난 목요일에 성남까지 가서 면접을 봤던엔아이티서비스 1차 면접에서 떨어졌다 ㅜㅜ지망했던 회사에 탈락해서 아쉬운 마음이 드는 한편,다시 5시간에 걸쳐 고속버스를 타고 성남에 가서 면접보고 월세방을 알아보지 않아도 돼서 다행이라는 생각이 드는건 뭔지 모르겠다우리가 희극과 비극을 동시에 연출하고 있는 것은, 인생이 매우 혼란한 상태에 빠져 있으며, 우리는 매우 가련한 존재라는 것을 나타내는 것이다-쇼펜하우어 인생론쇼펜하우어 인생론(교양사상신서 9)살고자 하는 의지를 철학의 근본으로 삼았던 철학자의 인생론. 인생의 여러가지 테마들인 삶의 지혜와 철학하는 방법,자살과 종교,독서와 여성,늙음에 대하여 느끼는 단상을 객관적 시각에서 본질적으로 풀어쓴 책이다. 저자의 철학사상과 내면세계가 함축돼 있다.저자아르투어 쇼..

최근에 네이버 계열사 엔아이티 서비스에서 면접을 보고왔다포항->서울->분당까지 왕복 10시간정도가 소요된 매우 고된 여정이었지만지금까지 면접을 봤던 회사중에서 2번째로 규모가 큰 회사이고 내 맘에 드는 직무여서 후기를 남겨볼려고 함 1. 서류전형자유롭게 자신을 표현NIT 서비스 입사 목표와 계획보안솔루션 기술직무에 필요한 역량포지션 관련 자유롭게 기술이렇게 4가지로 주로 나뉜다글자수에 제한이 없다보니까 과할정도로 길게 작성했지만 그만큼 간절해서 내용을 꾹꾹 눌러담음편입이나 보안 교육받은것과 CTF 참여 등등 다 한번씩은 언급할려고 했다기술적 역량은 신입이다보니 고수준을 기대하지는 않으시겠지만, 내가 지금까지 어떤 공부를 했고어떤 플랫폼에서 내가 필요하다 느끼는 공부를 스스로 한다 이런식으로 태도와 역량..

어떤 애플리케이션의 경우 127.0.0.1이나 localhost같은 호스트네임이나 /admin 등의 입력을 차단한다.차단할 리스트를 먼저 세워서 그것을 기반으로 하는 필터링 체계는 블랙리스트 기반이라고 함필터링을 우회할 수 있는 방법들 몇가지를 알아보자  IP 표현 대체 사용하기:127.0.0.1 대신에 2130706433(정수 표현), 017700000001(8진수), 127.1(축약하는 방식)  도메인을 127.0.0.1으로 설정하기인풋값을 직접적으로 입력하기보다는 DNS를 활용해서 도메인이 127.0.0.1으로 해석되도록 등록해서 필터링하는 방식이 있다고 한다. 과정을 간단히 설명하겠음  GET /fetch?url=http://127.0.0.1/admin위의 HTTP 요청을 보내면 127.0.0.1..

CyberChef란XOR 인코딩, Base64, AES 암호화, RSA 복호화같은 작업을 수행하는 웹 애플리케이션이다. 웹 브라우저,혹은 릴리즈 파일을 다운로드 받아 사용하면 된다. https://tryhackme.com/room/cyberchefbasics CyberChef: The BasicsThis room is an introduction to CyberChef, the Swiss Army knife for cyber security professionals.tryhackme.com    Operations, Recipe, Input, Output을 차례대로 알아보자 OperationsCyberChef에서 수행가능한 기능들의 리포이다. URL Encode, To Base64, To Hex, ROT..