한땀한땀 정성들인 코딩

다시 디버깅으로 확인 0xbffffb3c = 명령어 ret를 호출하기 직전의 esp 0xbffffa38 = 위의 esp위치에서 4byte(sfp) + 256byte(char buf의 크기)를 더한값 ?? 0xbffffa88이 아니라 0xbffffa38로 나오는데 정확한 이유는 잘 모르겠다. 48byte가 오차가 나긴하는데 ASLR이 안걸린건 확실하고 컴파일 마다 스택 논리주소가 변형이 되거나 우분투 자체를 온오프 할 때 변형이되거나(이건 아닌거 같다..) 하여간 오차값이 그리 크지 않아서 별문제는 없어보인다. 결론은 이 주소로 RET에 넣어도(적당히 4byte씩 더하면서 더 테스트 해봣다.) 쉘코드는 안 먹힌다. 메모리가 그리 큰것도 아니고 ;; 가상환경 메모리는 1gb정도다. 이쯤 되면 쉘코드가 의심스..

서론 Bof 1번째 문제. 코드를 보면 argv로 받아 strcpy로 buffer[256]에 넘겨준 후 출력한다. -strcpy 함수가 크기를 물어보지 않고 문자열을 복사하는 취약점이 있는 것 을 이용한 문제로 인식. 함수 프롤로그에서 (32bit 환경) sfp[4]+ret[4] 이니깐 총 260의 dummy와 4byte의 쉘코드가 있는 주소를 입력해 주면 된다. pwnable에서는 bin/sh를 실행시키는 execve함수가 따로 존재 하였지만 없는 걸로는 봐서는 따로 쉘코드를 만들어 줘야 할것이다. 그전에 실제 32bit 확인 하기 위해서 getconf WORD_BIT 명령어 로 확인. -> 32bit 일단 쉘코드를 만들겠다. 쉘코드 제작 쉘코드에 제한사항은 딱히 안 보이니 ( 아스키로 만든다던가, 특..

윈도우 서비스를 만들었으면 테스트 환경을 준비해 준다. - window XP sp3 x64 (VM 환경) - window 7 이상부터는 드라이버 인증서가 필요하다. 1. wdk 커널 빌드 환경 cmd를 관리자 권한으로 실행한 뒤 bin폴더 아래에 있는 setenv.bat을 실행한다. 드라이버 빌드환경에 맞게(i386, amd64) 옵션을 줘서 진행한다. 소스가 존재하는 폴더에 들어가 build를 하면 된다. 2. 유저모드 (window console application) 미리 컴파일된 헤더로 프로젝트를 생성 2.1 서비스 생성(드라이버 로드용) bool _util_load_sysfile(cahr *theDriverName) { char aPath[1024]; char aCurrentDirectory[5..

마지막으로 레지스트리 정리하고 밥먹으러 가야겠다.ㅎㅎ 윈도우 시작 시 동작하는 시작프로그램 등록HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"실행명"="경로명" 사용자 로그인 시 시작프로그램 등록HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"실행명"="경로명" 모든 사용자 로그인 시 시작프로그램 등록HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"실행명"="경로명" 서비스 자동 실행HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\서비스명typ..

구별을 잘 할수 있을 것. HTTP GET Flooding-동일한 URL을 반복 요청 HTTP GET Flooding with Cache-Control-Cache-Control:no-store, must-revaildated을 조작 Slow HTTP POST DoS(rudy)포루디-대량의 데이터를 장시간에 걸쳐 분할 전송-content-length가 매우 큼 Slow HTTP Header DoS(slowloris)허슬-헤더부분을 비정상적으로 조작-빈 라인을 전송하지 않고 의미없는 속성만 계속 전송 Slow HTTP Read DoS-tcp 윈도우 크기를 조작-window size value가 0-zero window packet을 전송*POST DoS와 구별 할 것. HashDoS-해시 충돌을 유도 Hul..

action protocol ip port -> ip port (option) alertlogpassactivatedynamic 옵션msgdesizecontent- ""- "||"- "||a"any contentoffsetdepthnocase *일정시간syn flooding 차단flags:S; threshold:type both,track by_src, count 50, seconds 5;*,에 주의count는 단수 seconds는 복수

정보보호 관리체계 인증제도 목적-비즈니스의 영속성 확보-체계적이고 지속적인 프로세스 개선 활동-정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조 의무 대상자-정보통신서비스 제공자1) 정보통신망 서비스를 제공하는자2) 직접정보통신시설 사업자3) 연간 매출액 또는 이용자 수등이 기준에 해당하는 자 인증 심사 종류 및 주기1. 최초 시사2. 재심사3. 사후 관리 연 1회 이상4. 갱신 심사 유효기간 3년 이전에 연장을 목적최초심사-사후심사-사후심사-갱신심사 인증 프로세스1. 인증 준비 단계2. ISMS 구축 단계3. ISMS 운영 단계4. 인증 신청 및 심사 단계5. 심사 결과 보완 조치 단계6. 사후관리 단계 인증 절차 흐름도1. 인증 심사 신청2. 사전심사 및 계약3. 인증 심사팀 구성4. 인증 심..

위험 : 위협이 취약성을 이용하여 자산에 피해를 입힐 수 있는 잠재적인 가능성 위험 관리 : 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지 *위험 관리의 절차-현황 분석-위험 식별-위험 측정-위험 산출-위험 조치-위험 수용*크게 위험 평가와 위험 분석이 있다. 위험 관리의 이점은 불필요한 투자를 방지 한다는 것에 있다. *위험 구성요소들 간의 관계(그림) 위험 관리 방법론 선정 시 내부 위험 관리 기준에 따라 위험평가를 실시위험 관리 방법론 고려 사항1)위험 평가 실시2)계획 수립3)위험 규모 평가4)위험 우선 순위 결정 위험관리 절차1. 검토 범위2. 자산 식별-자산 분석, 영향을 고려, 자산별 가치, 업무에 대한 의존도, 3. 자산가치, 기존 보안대책, 취약성, 위협 평가4. 위험 평가5...

IDS의 분류기준-설치 위치가 네트워크 or 호스트에 따라 달라진다. NIDS-네트워크의 특정 지점에서 여러 호스트를 대상으로 침입을 탐지-네트워크 패킷-스니핑 HIDS-호스트 내부에 설치-내부 시스템의 여러가지 상태를 모니터링-syscall, log, 무결성 장단점NIDS-하나의 시스템으로 여러 개의 호스트 보호-보호하는 호스트 자체의 성능에 영향을 주지 않음-공격자의 연관관계 HIDS-분석 대상이 다양-정확한 탐지-즉각적인 대응

SIEM(Security Information Event Management)-네트워크와 보안 장비로 부터 정보를 모음-분석을 통해 식별과 접근, 취약점 관리를 진행-네트워크 보안경고 실시간 분석 가능-Qrader, Arcsight, enVision, Splunk enterprise ESM-시스템 통합 보안 관리 SIEM은 빅데이터 수준의 심층 분석, 인덱싱 기반ESM은 이벤트 위주의 단시간 위협 분석 DBMS 기반 상세히...SIEM-모든 자원의 정보 및 보안 이벤트 통합 관리-지능화, 고도화, 신종 보안 위협 대응ESM-보안 현황을 모니터링-발생시 대처용