실습 튜토리얼 일단 vpn연결한 다음 vm을 키면 윈도우 가상환경이 준비되어 있다 CSIRT팀은 시스템 내에서 필요한 로그를 수집하고 정책들을 설정하는 역할을 한다고 한다.윈도우 운영체제에서는 Active Directory 시스템을 통해서 설정이 가능한데Active Directory는 내용이 너무 많아서 지금은 그냥 언급만 하고 다음에 다뤄보겠음 로그온 세션을 위한 정책 설정을 살펴보자시작 메뉴에서 Local Security Policy에 들어간다여기서 Security Settings -> Local Policies -> Security Options -> Interactive logon: Display user information when the session is locked. 위의 경로로 들어가..

침해사고 대응의 핵심은공격에 대응해서 영향, 회복 시간, 구동 비용을 최소화하는 것이다. 필요한 절차에서는 맬웨어 감염을 분리하고 취약점을 분석 및 조치하는 것 역시 필요하다. 이벤트Event와 침해사고Incident의 구분이벤트는 시스템이나 네트워크에서 발생하는 일반적인 사건들이다. 예를 들면 파일 서버에 접근하고 안티 바이러스 프로그램이 감염을 차단하는 것이 그 예시임.반면에 침해사고는 보안 규정을 위반함으로서 내부 시스템에 악영향을 끼치는 사건들을 말한다. 랜섬웨어를 통해 데이터를 암호화하던가, 서비스 거부 공격(dos) 등이 그 예시 침해사고 대응 Incident Response 프로세스1. Preparation: 사고가 발생하지 않게, 혹은 적절히 대응할 수 있도록 사전 준비가 필요2. Ide..

OS Command Injection이란?URL이나 파라미터를 통해 웹 애플리케이션이 구동되고 있는 서버의 운영체제 OS에 임의의 명령어를 실행하는 취약점이다. Command injection/shell injection으로 불리기도 하고 위험도는 높은 편에 속하는 취약점이다.사용자의 입력값 검증이 제대로 이루어지지 않기 때문에 발생할 수 있음. OS command injection으로 일반 사용자 수준의 권한으로는 중대한 손상을 입히지 못하지만, 권한 상승같은 다른 취약점이랑 합쳐져서 루트, 관리자 권한 계정으로 명령어를 실행하게 되면 더 위험도가 높아진다. 사용할 수 있는 명령어Name of current userwhoamiwhoamiOperating systemuname -averNetwork c..

시나리오: 리소스에 접근해서 3가지 재료를 알아내면 된다 일단 가상머신에 접속한 후, 할당받은 ip 번호에 nmap 포트스캐닝을 했다ssh, http 두 포트가 탐지되어 브라우저에 ip 번호를 입력해 들어가보았다nmap -sS -sV -sC -p- -T4 (가상머신 시간 만료로 인해서 캡쳐를 못함..ㅠㅠ) 웹 사이트에 들어가니 사이트가 정상적으로 연결된다F12 개발자도구에 들어가서 소스코드를 살펴보니 HTML 부분에아이디에 사용할 것 같은 유저네임을 발견했다! 날로먹을려고 flag.txt를 시도해봤지만 역시나 그런건 없음 혹시나 해서 시도해본 robots.txt 에서 수확이 있었다 참고로 robots.txt는 루트 디렉토리에 위치해있으며 어떤 디렉토리에 접근이 가능/불가능한지 나타내는 파일로ctf..

한 달쯤 이전에 보고 온 정보보안 컨설턴트 1차 면접후기를 남겨보려고 한다지원자가 70-80명 정도라고 하는데 감사하게도 서류 통과를 했다면접 장소는 회사 사무실이 아니라 서울시 중구에 위치한 공유 오피스에서 진행됐다 면접질문 자기소개멀리서 왔는데 어떻게 출퇴근할지자격증이 없는데 그 이유는?화이트햇스쿨에서 진행했던 프로젝트 설명컨설팅 영역 중에 특정 분야를 고른 이유해당 분야 컨설팅 분야에 대해 아는 지식 자유롭게 말해보라유학 다녀온 전후에 어떻게 시간 보냈는지관리인프라/모의해킹/정책 각 분야에 대해 아는 거 말해보라ISMS에 대해 아는 것 (이전 질문에 대한 꼬리질문)이전 활동 내용 모의해킹 쪽에 가까워 보이는데 다른 분야를 선택한 이유는?아직 4학년인데 졸업 시기는?희망연봉 보다싶이 테크니컬 질문은..

오랜만에 풀어보는 워게임이다웹해킹이 아닌 리눅스 환경 문제풀이! 일단 vpn이랑 가상머신에 연결하기그리고 nmap 명령어로 타깃 ip을 스캐닝해보자 namp -sV ftp, ssh, http 이렇게 3개의 포트에 서비스가 돌아가고 있다http도 있으니까 웹 서비스가 있을것같아서 ip 주소를 url에 입력해보니이렇게 웹 사이트가 뜬다 여기선 별 소득이 없다다시 터미널로 돌아가겠음 ftp 서비스에 접속하자ftp의 디폴트 네임은 anonymous여서 이걸 입력하니 접속 성공그리고 ls 명령어로 파일 리스트를 보니 locks.txt task.txt 두개가 있음 get locks.txt 이렇게 두개의 파일 둘다 다운로드 받자 task.txt 내용을 보니 -lin 이라고 적혀있다taks list 저자명이 ..