Volatility를 이용한 Memory 분석방법론 1) 운영체제정보 어떠한 운영체제에서 생성한 Memory Dump인지 분석 imageinfo – 생성한 Memory Dump의 운영체제, Service Pack과 Hardware 정보들을 나열 2) Process 분석 생성한 Memory Dump에서 실행중이거나 은폐된 Process 및 그와 관련된 정보들을 분석 pslist – 실행중인 … Continue reading
VM에 하드디스크 추가로달고 마운트하기 Volatility 으로 분석용 VM을 만들었는데.. 처음 Ubuntu를 설치할때 아무생각없이 기본으로 설정하는 바람에 HDD가 20G밖에 안된다..ㅠ Ubuntu 패키지 업데이트 하고 이거저거 깔고보니 남은 HDD가 4G OTL… 그래서 VM에 하드디스크를 추가로 20G 달고 마운트 시켰다.. 먼저 Setting에서 Add … Continue reading
ubuntu linux 에서 Volatility 설치 1. 필요 라이브러리 설치
|
1 2 |
$ sudo apt-get update $ sudo apt-get install build-essential subversion pcregrep libpcre++-dev python-dev sqlite3 libsqlite3-dev -y |
proxy 환경일 경우 apt-get를 아래와 같이 설정한다.
|
1 2 3 |
$ cat /etc/apt/apt.conf Acquire::http::proxy "http://xxx.xxx.xxx.xxx:8080/"; Acquire::https::proxy "https://xxx.xxx.xxx.xxx:8080/"; |
또는
|
1 |
sudo http_proxy='http://xxx.xxx.xxx.xxx:8080/' apt-get install package-name |
2. Volatility 설치
|
1 |
$ svn checkout http://volatility.googlecode.com/svn/trunk Volatility |
proxy 환경일 경우 svn 를 아래와 같이 설정한다.
|
1 2 3 4 5 6 |
$ cat ~/.subversion/servers ... [global] ... http-proxy-host = xxx.xxx.xxx.xxx http-proxy-port = 8080 |
3. python module 설치 proxy 환경일 경우 … Continue reading
Hack The Packet 2014 예선(2014 HTP_prequal) 올해도 30만원 정도 하는 POC 티켓을 노리고 HTP에 도전했다.. 하지만 안타깝게 9위로 본선진출만 하고 5위권내 진입은 실패했다..ㅠㅠ 그래도 문제를 풀었던 후기를 적어보고자 한다.. PCAP 파일 다운로드(Google Drive) Zip 파일 암호 : 2o14H@CKTH2P@cK2T
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 |
L1-K : 엘리스는 자신의 공유폴더를 이용하여 부하직원인 밥에게 비밀자료를 남겼다!. "이미지 파일을 보고 듣고 해독할것!" L1-E : Alies leave a Secret Message using SMB for assistant bob. "Look and listen image file and decipher that" Hint : use ear L2-K : NFS 서버가 침해사고를 당했다. 해커가 사용한 public key 이름을 찾아라. L2-E : NFS server got compromised, Find out name of hacker’s public key! L3-K : 악성앱이 설치된 휴대폰의 기종은? L3-E : What is a model of cell phone which is installed malicious application? M1-K : 공격자가 SQL Injection 공격을 통해 알아낸 4번째 필드명이 무엇인지 찾아라! M1-E : Find what is the field name of the fourth was investigated attacker through the attack of SQL Injection Hint : having Key format : Tablename-Columnname M2-K : 꼬비는 10/09 21시경 개인 사진자료를 편집하기 위해 USB를 이용하여 사진 편집 작업을 하였다. 몇일 뒤 개인 사진이 SNS을 통해 돌아다니는 것을 확인하였다. 이전 기억을 되짚어 볼 때 그날 집에 있던 사람은 동생뿐이었다. 만약 동생이 USB로 사진 자료를 복사한게 맞다면 노트북과 연결한 동생의 USB 제품명은? (&&사이값 모두 입력) (노트북 O/S는 윈도우7 Ultimate K 버전이며 윈도우를 10/06 새로 설치한 상태였다. ) M2-E: ggobi edited photos using the usb .(10/09 21 hour after) ggobi's photo was leaked through SNS a few days later. i was suspected the brother. ggobi remembered that brother is in house that day. USB product name of brother ? (Laptop O/S ver: window 7 Ultimate K) hint : between & and & M3-K : 룰이 공유한 클라우드 계정으로 접속한 가르미는 신이 나서 이것저것 다운을 받는다. 다운을 다 받은 후 컴퓨터가 감염되었다는 사실을 알게 되었다. M3-E : Garumi logged on cloud as Rul’s ID and downloaded something. After downloading, she realized that her computer is infected with a virus. hint: zip file key format : md5(filename) H1-K : 용자는 BOF 문제를 풀다가 리턴 값을 계산하기 귀찮아서 BF를 하기로 했다! 그런데 운영진 측에서 연락이 오더니 자꾸 패킷 많이 쏘면 탈락시킨다고 했다.. 다행히도 공격에 성공을 했는지 바인드쉘 포트가 열렸다!! BUT, 명령어가 안먹힌다 ㅠ.ㅠ 살펴보니 바인드쉘 쉘코드를 제대로 만들지 못했었다!! 쉘코드는 간단히 수정했으나.. 다시 BF를 할 수도 없고.. 정확한 리턴 값 계산하기도 귀찮고.. 용자를 위해서 정확한 주소를 찾아주세요! H1-E : Yongja is very lazy, but like CTF. So, he decided to use BF to solve BOF chall. Some hours later, he got shell from chall server (bindshell). But he did mistake, lost the shell connection! He can’t do BF anymore(was warned by OP). Find correct return address in the exploit packet! key format : 0xXXXXXX(Little endian) H2-k : Apache Struts기반으로 운영되는 사이트가 먹통이 되었다. 원인이 되는 취약점(CVE)는 무엇이고 공격자가 변경하려는 사이트는 어디인가?(페이로드 값) H2-E: Yongja’s website that based on Apache Struts got melong! Please let us know what is the CVE(used vuln) and where is the site to change bad guy want? H3-K : 악성코드에 감염된 용은 분석 전문가 파드란에게 도움을 요청했다! 감염된 악성코드에 이름을 찾아라! H3-E : YongGAL who was infected by Malware, asked for help from padran, an analytical expert. Search for the name of the infected Malware HINT : IFRAME key format : MalwareSIte_attackerID |
Wireshark pcap 파일 분할 이번 핵더 패킷에서 재일 고생했던 부분은.. 시간과의 싸움이였다.. 제공된 pcap 파일의 크기는 약 250M 정도.. 하지만 이 파일을 읽어서 필터걸고 TCP follow 등 분석하는데 로딩 시간이 상당히 걸렸다.. 대회시간은 단 2시간… 따라서 빠른분석을 위해 패킷을 … Continue reading
HDcon 2014 본선 항상 부족함을 느낀다.. 팀에 누가 되지 않도록 더 열심히 해야겠다.. 2014년의 마무리는 HDcon 입상을 위해 잘 준비해야 겠다.. 화이팅!! 출처 : https://www.facebook.com/shares/view?id=582807708512596 Hack The Packet 2014 본선 작년에 이어 또 턱걸이로 본선에.. 이번에도 역시 미리 좀 … Continue reading
큐비보드를 파일 서버로 만들어보기로 했다. 소음도 없고 전력 소모량도 작기 때문에 제격이라 생각했다. 나한테 제일 편하고 익숙한 apache2 + php5 + mysql 환경을 큐비보드에 구성해보자 현재 큐비보드에 설치된 OS가 우분투 기반이라 apt-get으로 쉽게 설치할 수 있다. 1. apache2 설치.
|
1 |
root@cubieboard2:~# apt-get install apache2 |
큐비보드를 파일 서버로 만들어보기로 했다. 소음도 없고 전력 소모량도 작기 때문에 제격이라 생각했다. 그러기 위해서 대용량 외장하드를 마운트해서 사용하기로 했다. 먼저 fdisk으로 디스크 정보를 확인해보자.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
root@cubieboard2:/# fdisk -l .... Disk /dev/sda: 2000.4 GB, 2000398934016 bytes 255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors Units = sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk identifier: 0xeb79xxxx Device Boot Start End Blocks Id System /dev/sda1 1 409639 204819+ ee GPT /dev/sda2 411648 1953925119 976756736 b W95 FAT32 /dev/sda3 1953925120 3907028991 976551936 b W95 FAT32 ... |
다른 많은 디스크들이 잡혔지만, 내장 NAND 이거나 부팅용 microsd 로 보이는 디스크는 제외하니 /dev/sda … Continue reading
큐비보드의 onBoard Ethernet이 죽었다.. 왜 죽었는지 정확한 원인을 모르겠지만, LAN 케이블을 꽂아도 불이 안들어오고, 부팅시 eth0가 올라오지 않는다..ㅠㅠ 그래서 결국 USB Ethernet을 구매했다.(WIFI를 살까 하다가 비싸서 Pass..) 먼저 USB Ethernet을 꽂고 인식하는지 확인..
|
1 2 3 4 5 6 7 8 9 10 11 12 |
root@cubieboard2:/# lsusb Bus 002 Device 002: ID 0424:2517 Standard Microsystems Corp. Hub Bus 004 Device 002: ID 1a40:0101 Terminus Technology Inc. 4-Port HUB Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub Bus 004 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub Bus 002 Device 003: ID 22b8:0938 Motorola PCS Bus 002 Device 004: ID 1241:0003 Belkin Bus 004 Device 003: ID 0b95:772a ASIX Electronics Corp. AX88772A Fast Ethernet Bus 004 Device 004: ID 152d:2352 JMicron Technology Corp. / JMicron USA Technology Corp. ATA/ATAPI Bridge |
잘 인식되었다ㅋ 그리고 ifconfig -a 으로 … Continue reading
1. 느린 쿼리 확인 my.cnf 에 느린쿼리에 대한 로그 남기기 [mysqld] 섹션에 아래의 내용을 추가
|
1 2 |
log-slow-queries = /var/log/mysql/mysql-slow.log // slow 쿼리 로그를 남길 위치 long_query_time = 1 // 느린 쿼리의 기준(초) |
2. 느린 쿼리를 확인하면, 해당 쿼리의 분석 쿼리 플랜을 확인해서 index 를 타는지, 아닌지 확인
|
1 2 |
desc select * from table; explain select * from table; |
해당 테이블의 index 정보 확인
|
1 |
SHOW INDEX FROM table; |
쿼리의 조건과 … Continue reading