Learning/└보고서 썸네일형 리스트형 리눅스침해사고분석보고서_로그분석 로그 분석 INDEX 정보수집 1.싱글 유저모드 2./var/log/messages 3./var/log/secure 4./var/log/wtmp 5./root/.bash_history 사용자의 서버 활동 사항을 추적 보고서 -> 시간에 기반한 보고서가 만들어져야 한다. (MAC 분석 작업) 주제 (침해사고 발생) - 오늘 중요한 파일 (/etc/passwd)이 삭제 되었다. (ㄱ) 오늘 파일이 지워졌다. (ㄴ) 중요한 파일(/etc/passwd)이 지워졌다. (1) 확인작업을 위한 로그인 시도 -> 로그인이 되지 않음 (2) 싱글유저 모드로 진입 /etc/passwd 파일 직접생성 후 root 패스워드 설정 후 reboot (삭제된파일 복구) (3) root계정으로 정상 로그인 후 history 목록 확.. 더보기 nmap report NMAP NMAP은 port Scanning 툴로서 호스트나 네트워크를 스캐닝 할 때, 아주 유용한 시스템 보안툴인 동시에, 해커에게는 강력한 해킹툴로 사용될 수 있습니다. 서버를 운영하다 보면 관리자 스스로도 어떤 포트가 열려있고, 또 어떤 서비스가 제공중인지 잘 모를때가 있습니다. 기억력이 나빠서나, 게을러서가 아니라 필요에 의해 자주 변경되므로 수시로 파악해서 기록해두지 않으면 잊어버리게 됩니다. 또 크래킹에 의해 생성된 백도어는 파악하기가 어렵습니다. 수 많은 포트와 서비스를 효과적으로 체크해서 관리하기 위해서 NMAP과 같은 포트 스캔 툴이 필요합니다. NMAP은 기존의 포트스캔툴에 비해 다양한 옵션과 방화벽 안쪽의 네트웍도 스캔할 수 있는 강력한 기능이 있습니다. 1. 설치 http://www.. 더보기 [Linux/Unix] 보안 취약점 점검 스크립트 리눅스 보안 취약점 점검 스크립트 목차 1. 개요 1-1 취약점 개요 1-2 프로젝트 목적 1-3 분석 / 평가 항목 2. 계정관리 2-1 root 계정 원격 접속 제한 2-9 패스워드 최소 사용 기간 설정 2-2 패스워드 복잡성 설정 2-10 불필요한 계정 제거 2-3 계정 잠금 임계값 설정 2-11 관리자 그룹에 최소한의 계정 포함 2-4 패스워드 파일 보호 2-12 계정에 존재하지 않는 GID 금지 2-5 root 이외의 UID가 ‘0’ 금지 2-13 동일한 UID 금지 2-6 root 계정 su 제한 2-14 사용자 Shell 점검 2-7 패스워드 최소 길이 설정 2-15 Session Timeout 설정 2-8 패스워드 최대 사용 기간 설정 3. 파일 및 디렉터리 관리 3-1 root 홈, 패스.. 더보기 사물인터넷 IoT 플랫폼 개요 사물 인터넷 2017년, 보안이 4차 산업혁명 플랫폼으로 자리 잡을 것으로 전망 정부가 채택한 9대 국가전력 프로젝트로 사물인터넷 선정. 사물인터넷 시대가 도래함에 따라 편리함에 중점을 둔 사업증가, 보안은 많이 취약한 현실 기기들의 계정을 탈취하고 연계된 기기 또한 조작 가능 사물인터넷 시장 규모 점차적으로 커질것 해외부터 국내까지 막론하고 규모가 확산되고 있다. 실생활에 밀접하게 다가오는 IoT, 모든 생활에 사물인터넷과 함께 할 것으로 예측 그에따른 사물인터넷의 대한 보안의 중요성이 커진다. 앞으로의 삶에 많은 영향을 끼칠것, 해킹 위협으로부터 보안할 수 있는 대책 강구해야함. 셀수 없이 많은 종류의 플랫폼들을 일일이 점검하고 보안하는건 현실적으로 어려운 시점 여러 기기들의 취약한 통신을 점검하고 .. 더보기 Buffer overflow Attack Report BOF 공격 리포트 [buffer over flow attack report] 목 차 0. 개요 ...........................................................................................................1 0.1 보고일정 및 테스트 환경 .........................................................1 0.2 BOF 분석 추진 배경 ....................................................................2 2. BOF의 개념 .............................................................. 더보기 Egg Shell & Format String Bug & Buffer Overflow [FTZ LEVEL11] ■ Level11 -> Level12 ■ 목적 포맷스트링(Format String Bug)과 버퍼오버플로우(Buffer Over Flow) 포맷스트링(Format String)에 대해서 포맷 스트링 = 포맷 스트링 지시자(Format String Directive) 포맷스트링은 %d %x %.. printf에서 사용하는 지시자를 나타낸다. 포맷 스트링 버그/어택 우선 포맷 스트링 지시자 가 무엇인지부터 알고 넘어가야 버퍼오버플로우에 대해서 접근할 수 있다. 2진수로 저장된 값을 우리가 인식할 수 있는 형태로 바꿔 주는 것이 printf() 함수와 같은 곳에 전달하는 포맷 스트링 인자이다. 특정한 형식으로 출력해보자. $ vi format.c #include #define MAX 127 int main().. 더보기 암호학 분석 및 추측 의사코드 작성 [FTZ LEVEL7] [과제] /bin/level7 파일을 디버깅하여 의사코드를 만들어 보자. level6 사용자 로그인 -> ID/PASS : level7/come together $ cat hint /bin/level7 명령을 실행하면, 패스워드 입력을 요청한다. 1. 패스워드는 가까운곳에.. 2. 상상력을 총동원하라. 3. 2진수를 10진수를 바꿀 수 있는가? 4. 계산기 설정을 프로그래머용으로 바꾸어라. $ ls -l /bin/level7 -rws--x---- 1 level8 level7 12312 8월 19 12:58 /bin/level7 $ /bin/level7 Insert The Password : 0000 올바르지 않은 패스워드 입니다. 패스워드는 가까운곳에... --_--_- --____- ---_-__ --.. 더보기 Forensics Tools Foremost Report (ppt첨부) 카빙 툴 프로그램(Foremost) ■ Package Description Foremost는 데이터 구조를 기반으로 손실 된 파일을 복구하기 위한 카빙(Carving) 툴 프로그램 입니다. 네트워크 패킷 데이터 추출, 악성코드 분석, CTF 포렌식 문제 등에 자주 사용하는 툴 이며, 해킹대회에서 알 수 없는 파일이나 무엇인가 합쳐져 있는 것 같은 파일을 분리해낼때 유용하게 쓰일 수 있습니다. Foremost는 dd, Safeback, Encase 등으로 생성 된 이미지 파일이나 드라이브에서 직접 작업 할 수 있습니다. 머리글과 바닥 글은 구성 파일로 지정하거나 명령 줄 스위치를 사용하여 기본 제공 파일 형식을 지정할 수 있습니다. 이러한 기본 제공 유형은 주어진 파일 형식의 데이터 구조를보고 더 안정적이.. 더보기 Extundelete Tool report 1. Frensics Tools List ■ extundelete 삭제한 파일 복구하기(extundelete) ■ Package Description extundelete는 ext3 또는 ext4 파티션에서 삭제 된 파일을 복구 할 수있는 유틸리티입니다. ext3 및 ext4 파일 시스템은 Mint, Mageia 또는 Ubuntu와 같은 Linux 배포판에서 가장 일반적인 기본 파일 시스템입니다. extundelete는 파티션의 저널에 저장된 정보를 사용하여 파티션에서 삭제 된 파일을 복구하려고 시도합니다. 특정 파일을 삭제 취소 할 수 있다는 보장이 없으므로 항상 올바른 백업 시스템을 갖춰야합니다. 또는 파일을 복구 한 후에도 적절한 백업 시스템을 마련해야 합니다. [주의사항] 4GB 이상의 파일은 지.. 더보기 말테고(Maltego) report '말테고(Maltego)'를 이용한 위협 평가 Maltego Program 해킹의 사전준비를 위한 정보수집 툴로 nmap, zenmap, maltego 정도가 있는데, 모두 칼리 리눅스에 기본적으로 탑재되어 있다. nmap은 포트스캐닝이나 네트워크 분석에 사용된다. (debian) sudo apt-get update sudo apt-get install nmap (Redhat) sudo yum update sudo yum -y install nmap zenmap은 GUI인터페이스 이며 네트워크 매핑에 사용된다. UI의 최상단에는 IP주소 입력창이 있고 그 아래는 실제 nmap의 명령어, 우측엔 어떤 작업을 수행할것인지가 나와있다. IP범위를 적고 Quick Traceroute로 설정한다(윈도우즈에서는 t.. 더보기 DHCP spoofing report DHCP spoofing report ◆DHCP 자동으로 Client에게 IP주소를 할당해 주는 Server. 동적으로 할당해 주기 때문에 하나하나 할당해 주지 않아도 된다. 실수가 적고 효율적이다. ◆문제점 UDP통신 Port 67(server), Port 68(client) 공격으로 주소를 고갈시켜 서비스 거부공격이 가능 공격자는 DHCP로 위장하여 Offer Packet을 보내면 Victim은 그 정보를 받아드린다. (gw or DNS정보 위조) ◆DHCP Starvation BT5 - /pentest/enumeration/irpas로 경로 이동 dhcpx -vv -i eth0 -A -t 5 1.서버를 찾는다. 2.IP주소를 계속 할당받아 DHCP 서버가 보유한 IP를 고갈시킨다. gw -> sho.. 더보기 DNS Spoofing report DNS 스푸핑 보고서 INDEX ------------------------------ 1. 개요 2. 설정 확인 3. ettercap DNS 설정 4. ettercap spoofing 5. 결과 확인 & DNS 캐싱 정보 초기화 ------------------------------ ■ 사용시스템 - KaliLinux (1) 개요 DNS Spoofing 실제 도메인 네임 시스템(DNS) 서버를 해킹하거나, 위조 DNS 서버를 설치하여 공격하는 방법. 사용자가 질의한 도메인 이름에 대해 고의로 잘못된 인터넷 프로토콜(IP) 주소를 응답으로 보내 사용자가 잘못된 사이트에 접속하게 하여 개인정보 등의 정보를 탈취한다. 도메인 네임 시스템(DNS) 프로토콜은 인터넷 연결 시 도메인 주소를 실제 IP 주소로 대.. 더보기 Yasca program Report Yasca program Report 시큐어 코딩 진단 프로그램 - [참고] Yasca program (http://www.scovetta.com/yasca.html) (1) 개요 최근 지속적으로 발생되고 있는 웹 해킹 관련 침해사고에 대한 대안으로 시큐어코딩(Secure Coding)이 강조되고 있다. 시큐어 코딩이란 개발 단계에서부터 해킹 등의 공격을 유발할 가능성이 있는 잠재적인 보안 취약점을 사전에 제거하여 외부 공격으로부터 안전한 어플리케이션을 개발하는 것을 말한다. 지난 2012년 12월 부터는 행정자치부의 정보시스템 구축 운영 지침 개정안 행정 예고에 따른 시큐어코딩 의무화 법안이 발표되었다. 하지만 이와 같은 법안이 나왔음에도 불구하고 침해 사고는 좀처럼 줄어들지 않는 것이 현실이다. 개발.. 더보기 Shell Scripts Report Ⅱ 쉘 스크립트 코드 분석 INDEX ------------------------------ 1. 네트워크 설정 확인 2. Exploit DB 업데이트 3. 공격용 쉘스크립트 검색 4. 편리한 기능 설정 5. 코드 분석 ------------------------------ ■ 사용시스템 - KaliLinux (1) 네트워크 설정 확인 Exploit DB 업데이트 작업을 하기 위해서 네트워크 설정을 확인한다. 외부로 통신이 가능해야 한다. # ifconfig # netstat -nr # cat /etc/resolv.conf # nslookup www.daum.net (2) exploit DB 업데이트 # ls /usr/share/exploitdb/platforms aix cfm irix minix palm_.. 더보기 Shell Scripts Report 쉘 스크립트 분석 보고서 Linux wget 이란 ? - wget 은 웹으로부터 파일이나 디렉토리를 다운로드 하는 역할은 한다. wget사용 방법 # wget [옵션] [다운로드하고자 하는 URL] # wget 옵션 옵션 설명 -r 디렉토리 구조와 파일을 그대로 하여 복사 -b 백그라운드에서 파일다운로드 실행 -c 연결이 끊긴 시점부터 이어서 파일 다운로드 분석 파일 # searchsploit linux | egrep '.sh$' | grep 24123.sh WGet 1.x Insecure File Creation Race Condition Vulnerability | /linux/local/24123.sh 4. 소스 파일 ( 파일 위치 : /usr/share/exploitdb/platforms/linu.. 더보기 Googling Report 구글링 보고서 구글링 위키백과, 우리 모두의 백과사전. 이동: 둘러보기, 검색 구글링(Googling→구글로 검색하기)이란 전 세계적으로 유명한 포털사이트인 구글(Google)에 -ing 를 붙여 만든 단어로, "구글로 정보를 검색한다"라는 뜻을 가지고 있다. 영어권에서도 구글이라는 말을 이 같은 뜻의 동사로 사용한다. 정확하고 뛰어난 검색력으로 인해 '구글링한다' 라는 말이 일반명사화 되었지만, 개인의 신상정보 노출 등 문제도 심각하다.[1] 이름 하나로도 학교와 집주소, 심지어 전화번호까지 알아낼 수 있기 때문이다. 방대한 정보를 저장하는 메타데이터를 구글의 검색로봇이 자료를 수집한다. 다양한 부가 검색 기능, 검색 결과의 질 면에서 구글은 다른 어떤 사이트보다 좋은 평가를 받고 있으며 이는 구글의 .. 더보기 Bash Shell Bug Report 배시(bash)쉘 버그 조사 보고서 1. 개요 미국 CERT는 9월 25일(현지시간) 전 세계 기관·기업의 보안 전문가들을 대상으로 ‘배시 버그’(Bash Bug) 또는 ‘쉘 쇼크’ (Shell Shock)로 불리는 보안 결함에 대비하라고 강력히 경고했다. 배시(Bash)에서 발견된 취약점은 리눅스와 유닉스 등 GNU 배시를 사용하는 모든 운영체제에 영향을 끼칠 수 있다. 배시(Bourne Again Shell, Bash)는 유닉스·리눅스 계열에서 사용자 명령어를 분석하여 운영체제(OS)의 커널로 전달해주는 기본 쉘 프로그램이다. ※ CERT(Computer Emergency Response Team): 컴퓨터 해킹사고가 빈발함에 따라 컴퓨터 통신망을 해커로부터 보호하기 위해 결성된 통신보안 전문가그룹이.. 더보기 보고서 제출 단계 보고서 제출 단계 보고서 작성시 첫번째장에는 프로젝트를 수행한 개요와 목적이 들어간다.(EX: 모의해킹의 정의등) 수행한 일정과 멤버에 대해 정확하게 제시를 해줘야 한다.(EX: 프로젝트 수행 진단자(컨설턴트)) 수행대상/수행한 장소에 대해 표기한다.(EX: 00서비스외 #개) 수행방법론에 대해 표기한다.(EX: 모의침투에 전반적인 수행 방법론) 보고서안에는 컨설팅업체 자신들만의 방법론을 기재하면 더욱 돋보인다.(EX: 차별화된 보고서) 주의를 환기시킬 수 있는 능력 필요, 그래프,비교자료가 많으면 좋다. 발표자료와 보고서 발표자료와 보고서는 구분하여 작성하여야 한다. 중간/최종 보고서 발표자료 ■ 프로젝트 개요 ■ 프로젝트 목적 ■ 모의 해킹 : 2013년 2월 일(월) ~ 2월 일(금) ■ 투입 인원.. 더보기 이전 1 다음
