정보보안-이론/XX에 대하여
BINTEXT에 대하여
BINTEXT란 기능은 윈도의 type명령어나 linux의 strings 명령어와 상당히 유사한 점이 있다. gui지원이 장점이라면 장점이라고 할 수 있겠다. Filter를 이용하면 어떠한 문자를 출력할지 지정할 수 있다. 아마 만들 때 어떤 ASCII를 가져올지 지정하는 화이트리스트가 있는 거라고 볼 수 있겠다. 문자열로 인식하는 최소 / 최대 길이 또한 지정할 수 있다. * 여담으로 Mem pos라는 컬럼이 있다. 메모리상에서 위치를 의미하는 정보인데, 사실 실행 중인 파일이 아닌 파일인데, Mem pos가 있다는 점에서 이상하게 생각했는데 , 아니나 다를까 그냥 ImageBase값을 더한 offset를 표현한다. 뭐 틀린 건 아니니까 아래는 설치 경로이다. https://www.aldeid.com/..
Kismet에 대하여
무선 탐지를 위한 여러 가지 모듈이 있다. 특히 유명한 건 Aircrack 계열의 Airmon 등이나 Airodump 등의 툴인데, 이번에 CEH를 공부하면서 Kismet이라는 처음 들어보는 무선 Detector 툴을 발견해서 소개 겸 들고 왔다. Kismet이란 Kismet은 무선환경에서 장비탐지 / 스테핑 / 워드라이빙을 할 수 있게 해주는 통 체적인 프레임워크이다. 단순 무선 Wi-fi환경뿐만이 아닌 다른 규격(Ex : Bluetooth나 장비별 자체적으로 정의된 무선 신호)도 지원한다는 특징이 있다.(이건 Aircrack보다 낫구만) Kali에서 내장으로 설치되어있다고 한다. https://www.kismetwireless.net/ Kismet The home of the Kismet wirele..
DumpSec에 대하여
CEH를 공부하다가 또 재미있는 툴을 찾아냈다. 구버전의 Window 운영체제(XP나 NT등)에서 Audit등을 위한 툴로 사용된다는 DumpSec이다. 다운로드 다운로드 사이트는 다음과 같다. https://www.systemtools.com/somarsoft/ Download Free Utilities From SystemTools Software Inc Free Utilities & DumpSec SomarSoft has granted SystemTools.com distribution rights for SomarSoft's DumpSec (formerly known as DumpAcl), DumpReg, and DumpEvt programs. As last released by SomarSoft..
SLOW HTTP공격에 대하여
Slow HTTP 공격류들은 분류를 하면 모두 웹 서버에게 시행하는 Dos 공격이다.(사실 TCP 80을 지원하면 어디든 가능하다) 모두 조작된 패킷을 발송하여 서버가 정상적인 패킷을 받을 때까지 대기하는 유사한 특징을 가지고 있다. Slow HTTP POST Attack RUDY(R U Dead Yet)으로 다른말로는 Slow HTTP POST Dos로 동작 방식은 다음과 같다. 그중 POST메소드로 대량의 데이터를 분할 전송(HTTP 206 Paritial Content)하여 연결을 유지시키는 방법을 사용한다. 서버가 POST 세션으로 데이터가 분할되어 전송이 완료되지 않았다면 세션을 유지하는 특성을 적극 활용한다. Slow HTTP Header Attack 조작된 HTTP Header를 발송한다. ..
Nmap Option에 대하여
Nmap은 포트 스캐닝을 해주는 정말로 정말로 정말로 정말로 강력한 도구이다. 아마 이 정보 보호판에서 스캐닝 툴에서는 압도적인 성능을 가지고 있지 않을까 라는 생각이 든다. 그만큼 지원하는 많은 강력한 기능이 있다. 이번 포스팅에서는 CEH공부를 하면서 본 새로운 옵션들을 정리할 겸 아예 nmap 옵션의 모든 것을 정리해보려고 한다. *이 포스팅에는 nmap의 설치방법이 들어있지 않습니다.* Host 발견 옵션 -sL : List SCAN 옵션, target network의 alive한 호스트를 list한다. -sn : Ping SCAN 옵션, target network에 ICMP Ping을 발송한다. -Pn : Target Network의 모든 Host를 alive한 상태로 간주하여 스캐닝을 시도한다..
IDLE SCAN에 대하여
네트워크를 스캔하기 위해서 사용하는 많은 툴이 있다(hping계열이나 이 동네 탑인 nmap같이) 이 툴들의 목적은 호스트의 정보수집(reconnaissance)인데, 사용하는 방법은 정말 여러가지가 있다. 대표적인 스캐닝 방법으로는 TCP-SCAN이나 NULL SCAN 등이 있겠다. 이번 포스팅에서는 조금 독특한 스캐닝 방법을 소개하고자 한다. IDLE SCAN이란 IDLE SCAN은 포트스캐닝의 방법 중 하나로, IP다이어그램에서 순차적으로 증가하는 수인 IPID와 zombie 호스트를 이용해서 대상 단말기의 포트 오픈 여부를 검사하는 스캐닝 방법이다. IDLE SCAN의 동작과정 아래는 이를 설명한 플로우 차트이다. * nmap에서는 -sl 옵션으로 idle scanning을 시행할 수 있다. CE..