본문 바로가기

Learning

[Forensics Tools] RegRipper 레지스트리 정보 분석 툴 (RegRipper) ■ Package Description [사용방법] # rehripper 참조 사이트 https://code.google.com/p/regripper/wiki/RegRipper [EX] 사용 예제 # peepdf -x /usr/share/doc/texmf/fonts/lm/lm-info.pdf 더보기
[Forensics Tools] peepdf PDF파일 탐색 툴 (peepdf) ■ Package Description [사용방법] # peepdf [옵션] PDF_file 참조 사이트 http://eternal-todo.com/tools/peepdf-pdf-analysis-tool http://eternal-todo.com/blog/cve-2011-2462-exploit-analysis-peepdf ■ OPTIONS # peepdf -h 옵션 : -h이 도움말 메시지를 표시하고 종료 --help -i를 --interactive 설정 콘솔 모드. -s SCRIPTFILE은 --load 스크립트 = SCRIPTFILE은 지정된 파일에 저장된 명령을로드하고 이를 실행합니다. -f, --force-mode 에러를 무시하도록 강제 해석 모드를 설정합니다... 더보기
[Forensics Tools] pdgmail RAM 포렌식 도구 (pdgmail)■ Package Descriptionpd 프로세스 메모리 덤프에서 gmail 아티팩트를 수집하는 Python 스크립트. 연락처, 전자 메일, 마지막 액세스 시간, IP 주소 등을 포함하여 메모리 이미지에서 찾거나 추출할수 있다. [사용방법]# pdgmail -v -f file.dmp 참조 사이트 https://www.question-defense.com/2012/04/02/pdgmail-backtrack-forensics-ram-forensics-tools-pdgmailhttp://cyborg.ztrela.com/pdgmail.php/ ■ OPTIONS# pdfid -h# pdgmail -h Usage: /usr/bin/pdgmail [OPTIONS] Options:.. 더보기
[Forensics Tools] pdfid 키워드를 통한 PDF 검사 (pdfid)■ Package Description특정 PDF 키워드를 찾기 위해 파일을 검색하여 JavaScript 등이 포함 된 PDF 문서를 식별하거나 열 때 작업을 실행할 수 있습니다. 프로그램이 복잡할 수록 보안에 취약할 수밖에 없는데, 이 프로그램은 간단하게 제작되어사용하기 간편하고 무결성이 좋다. [사용방법]# pdfid -a english.pdf 참조 사이트 http://blog.didierstevens.com/programs/pdf-tools/ ■ OPTIONS# pdfid -h# pdfid -h Usage: pdfid [options] [pdf-file] Tool to test a PDF file Options: --version show program's v.. 더보기
[Forensics Tools] pdf-parser PDF 분석(pdf-parser) ■ Package Description PDF 문서를 분석하여 분석 된 파일에 사용 된 기본 요소를 식별한다. 의심스러운 특성에 대한 PDF 파일을 분석하는 용도로 사용한다. Adobe zero-day 취약점을 공격하는 pdf 악성코드 등 악의적인 PDF 문서는 방화벽, 침임 방지 시스템 및 기타 보안 장비들을 쉽게 통과하고 사용자가 문서를 열도록 유인하기 용이하다. 이러한 조작 된 파일을 분석 할 때 사용할 수 있다. [사용방법] # pdf-parser -a 참조 사이트 http://blog.didierstevens.com/programs/pdf-tools/ https://www.youtube.com/watch?v=OGlRKz2PECg http://sinun.tisto.. 더보기
[Forensics Tools] p0f fingerprinting(p0f)■ Package Description네트워크 상에 흐르는 패킷을 덤프하여, 분석하는 과정에서 해당 IP를 추적하다 보면 IP에서 운영하는 서비스는 어떠한 시스템 에서 운영하고 있는지에 대한 정보를 파악해야 하는 경우가발생한다. 이럴 때 사용하는 것 이 Fingerprint이다.모의해킹이나, 해커가 공격하기 전에 정보를 수집하는 단계에서 많이 사용되며Fingerprint를 검색해 보면 본래의 뜻은 '지문'이다. 하지만 여기서의 의미는네트워크상에 흐르는 패킷의 특징적인 정보들을 추출해 내는 것 을 의미한다. 바닐라 TCP 연결의 양 끝점에서 운영 체제와 소프트웨어를 매우 확장 가능하고 매우 빠르게 식별합니다. 특히 NMap 프로브가 차단되거나 너무 느리거나 신뢰할 수 없거.. 더보기
[Forensics Tools] iPhone Backup Analyzer iPhone 백업 분석(iPhone Backup Analyzer)■ Package DescriptioniPhone 백업 분석기는 iPhone (또는 다른 iOS 장치)의 백업 폴더를(구성 파일 읽기, 아카이브 찾아보기, 데이터베이스에 숨어있는 것) 쉽게 탐색 할 수 있는 유틸리티 입니다.IPBA 백업 디렉토리를 구문 분석하고 디코딩 된 파일 시스템 트리를 출력합니다.각 파일은 다음과 같은 속성을 볼 수 있습니다. ⦁백업 디렉토리의 실제 이름과 이름⦁UNIX 권한을 파일⦁데이터 해시 (아이폰 OS에 의해 계산)⦁사용자 및 그룹 ID⦁시간, 액세스 시간, 작성시 수정⦁(매직 넘버)에서 파일 형식 [사용방법]# iphone-backup-analyzer 참조 사이트http://ipbackupanalyzer.co.. 더보기
[Forensics Tools] Guymager 미디어 포착 툴(Guymager)■ Package Description쉬운 사용자 인터페이스멀티 스레드, 파이프 라인 설계 및 멀티 스레드 데이터 압축으로 인해 매우 빠름다중 프로세서 시스템플랫 (dd), EWF (E01) 및 AFF 이미지 생성, 디스크 복제 지원요금 무료, 오픈 소스하드디스크는 삭제를 해도 파일이 남아있다. 파일을 삭제한다는 것은 완전히 삭제 하는게 아니라,그 파일을 하드 디스크에서 더이상 보호하지 않는다는 의미이지, 보호하기 전에 이미 다른 정보에의해 덧씌였다면 그때 본격적으로 파일이 삭제되는 것이다.아직 삭제가 되지 않은 상태라면, 그땐 바로 그 파일을 복구시켜서 증거를 잡고 guymager를 이용해 하드 볼륨을 복제한 후, 복제된 볼륨을 DFF로 조사를 하는 방식을 사용한다.DF.. 더보기
[Forensics Tools] Galleta 익스플로러 쿠키 검사(Galleta) ■ Package Description Galleta는 Microsoft Internet Explorer에서 생성 된 쿠키 파일의 내용을 조사하는 툴 입니다. 파일을 구문 분석하고 스프레드 시트에로드 할 수있는 분리 된 필드를 출력합니다. [사용방법] # galleta /root/Desktop/ > /root/Desktop/testgalleta.txt # gedit testgalleta.txt & 참조 사이트 https://www.youtube.com/watch?v=yS1OhNX5oQA ■ OPTIONS # gelleta # galleta Usage: galleta [options] -d Field Delimiter (TAB by default) [EX] 사용 예제 .. 더보기
[Forensics Tools] Foremost 카빙 툴 프로그램(Foremost) ■ Package Description Foremost는 데이터 구조를 기반으로 손실 된 파일을 복구하기 위한 카빙(Carving) 툴 프로그램 입니다. 네트워크 패킷 데이터 추출, 악성코드 분석, CTF 포렌식 문제 등에 자주 사용하는 툴 이며, 해킹대회에서 알 수 없는 파일이나 무엇인가 합쳐져 있는 것 같은 파일을 분리해낼때 유용하게 쓰일 수 있습니다. Foremost는 dd, Safeback, Encase 등으로 생성 된 이미지 파일이나 드라이브에서 직접 작업 할 수 있습니다. 머리글과 바닥 글은 구성 파일로 지정하거나 명령 줄 스위치를 사용하여 기본 제공 파일 형식을 지정할 수 있습니다. 이러한 기본 제공 유형은 주어진 파일 형식의 데이터 구조를보고 더 안정적이.. 더보기
[Forensics Tools] extundelete Forensics Tools ----------------------- INDEX extundelete Foremost Galleta Guymager iPhone Backup Analyzer p0f pdf-parser pdfid pdgmail peepdf RegRipper Volatility Xplico ---------------------------- 삭제한 파일 복구하기(extundelete) ■ Package Description extundelete는 ext3 또는 ext4 파티션에서 삭제 된 파일을 복구 할 수있는 유틸리티입니다. ext3 및 ext4 파일 시스템은 Mint, Mageia 또는 Ubuntu와 같은 Linux 배포판에서 가장 일반적인 기본 파일 시스템입니다. extundelete.. 더보기
MSF 관련 명령어 정리 (정리) MSF(Metasploit Framework) -> 모의해킹 SEtoolkit -> SET(Social Engineering Tech) Fake site 제작, SE Attack 등.. MSF로 할수 없는 것들 보유. Beef-xss -> 브라우저 관련 해킹 연속해서 사용 DNS/ARP Spoofing(전초작업) + msfconsole, armitage + SE attack - setoolkit + xss ataack, Broswer hackking -> BeFF (주의) 다음 문서는 칼리리눅스 1.0/1.1 버전을 기준으로 만들어 졌습니다.리스트 선택 따라서, 칼리리눅스 2.0 버전에서는 변형되었거나 혹은 사라진 명령어도 존재합니다. MSF 관련 명령어 정리 ■ msfconsole 명령어 # .. 더보기
Metasploitable V2 Linux 서버의 취약점(Ingreslock) (7) 버그를 공격하는 경우(Backdoor 존재하는 경우) ■ 실습 시스템 - KaliLinux (EX: attacker system) - Metasploitable V2 Linux (EX: victim system) ■ 공격의 개요 Ingreslock backdoor Much less subtle is the old standby "ingreslock" backdoor that is listening on port 1524. The ingreslock port was a popular choice a decade ago for adding a backdoor to a compromised server 1524번 포트는 Ingre 데이터 베이스 Lock 서비스용 포트이다. 이 포트는 512 ■ 취약점 .. 더보기
Metasploitable V2 Linux 서버의 취약점(RMI) (7) 버그를 공격하는 경우(RMI 취약점 존재) ■ 실습 시스템 - KaliLinux (EX: attacker system) - Metasploitable V2 Linux (EX: victim system) RMI (Remote Method Invocation) ; 원격 메쏘드 호출 ■ 출처: www.terms.co.kr RMI (Remote Method Invocation) ; 원격 메쏘드 호출 RMI는 자바 프로그래밍 언어와 개발환경을 사용하여 서로 다른 컴퓨터들 상에 있는 객체들이 분산 네트웍 내에서 상호 작용하는 객체지향형 프로그램을 작성할 수 있는 방식이다. RMI는 일반적으로 RPC라고 알려져 있는 것의 자바 버전이지만, 그러나 요청과 함께 하나 이상의 객체들을 통과시키는 능력을 가지고 있다.. 더보기
Metasploitable V2 Linux 서버의 취약점(distccd,samba) (5) 버그를 공격하는 경우(Backdoor 존재하는 취약점) ■ 실습 시스템 - KaliLinux (EX: attacker system) - Metasploitable V2 Linux (EX: victim system) ■ 공격의 개요 Security weakness to execute arbitrary commands on any system running distccd. distccd - 다중 컴파일 프로그램 ■ 취약점 공격 과정(distccd Backdoor 존재하는 취약점) (KaliLinux) ① distccd 데몬 확인 # nmap -p 3632 192.168.10.134 Starting Nmap 7.01 ( https://nmap.org ) at 2016-04-01 19:20 KST Nma.. 더보기
Metasploitable V2 Linux 서버의 취약점(IRC) (4) 버그를 공격하는 경우(Backdoor 존재하는 취약점) ■ 실습 시스템 - KaliLinux (EX: attacker system) - Metasploitable V2 Linux (EX: victim system) ■ 공격의 개요 What UnrealRCd? UnrealIRCd is an open source IRC daemon, originally based on DreamForge, and is available for Unix-like operating systems and Windows. Since the beginning of development on UnrealIRCd circa May 1999, many new features have been added and modified, i.. 더보기
Metasploitable V2 Linux 서버의 취약점(Backdoor) (3) 버그를 공격하는 경우(Backdoor 존재하는 취약점) ■ 실습 시스템 - linux200 (EX: attacker system) - KaliLinux(EX: attacker system) - Metasploitable V2 Linux (EX: victim system) ■ 공격의 개요 Meta V2는 오픈소스이다. (해커의 원본파일 손상 및 재배포) VSFTPD BUG If a username is sent that ends in the sequence ":)" [ a happy face ], the backdoored version will open a listening shell on port 6200. ■ 취약점 공격 과정(Backdoor 존재하는 취약점) (linux200) ① vsftp.. 더보기
Metasploitable V2 Linux 서버의 취약점(NFS) (2) 버그를 공격하는 경우(NFS 전체 공유의 취약점)잘못된 NFS 설정을 공격하는 경우 ■ 실습 시스템- linux200 (EX: attacker system)- Metasploitable V2 Linux (EX: victim system) ■ 공격의 개요This is about as easy as it gets. The next service we should look at is the Network File System (NFS). NFS can be identified by probing port 2049 directly or asking the portmapper for a list of services. The example below using rpcinfo to identify NFS a.. 더보기
searchspolit.sh 스크립트 작성 searchspolit.sh 스크립트 작성 # cp /usr/share/exploitdb/files.csv /root/bin/files.csv# cd /root/bin# cat files.csv | headid, file, description, date, author, platform, type, port1,platforms/windows/remote/1.c,"Microsoft IIS - WebDAV 'ntdll.dll' Remote Exploit",2003-03-23,kralor,windows,remote,802,platforms/windows/remote/2.c,"Microsoft IIS 5.0 - WebDAV Remote Exploit (PoC)",2003-03-24,RoMaNSoFt,window.. 더보기
Metasploitable V2 Linux 서버의 취약점(rhosts) Metasploitable V2 Linux 서버는 많은 버그를 가지고 있습니다. 다음은 버그 실습에 대한 예제입니다. 단순히 참고용으로만 사용하시기 바랍니다. Metasploitable V2 Linux 서버의 취약점에 대해서 (1) 버그를 공격하는 경우(rCMD(~/.rhosts) 취약점) ■ 실습 시스템 - linux200 (EX: attacker system) - Metasploitable V2 Linux (EX: victim system) ■ 공격의 개요 TCP ports 512, 513, and 514 are known as "r" services, and have been misconfigured to allow remote access from any host (a standard ".rhos.. 더보기

티스토리툴바