이야기

CTF)Keyring

HTTP Parameter Pollution(HPP): 같은 이름의 파라미터로 요청을 보내서 오염을 발생시킨다. 기본 ip를 찾고, 포트를 확인해보니 80번 포트가 열려있는 것을 확인할 수 있고, 바로 회원가입 페이지가 있어서 회원가입하고 입장하니 아래와 같은 힌트를 볼 수 있었다. 근데 막상 HPP를 사용하는 부분이 보이지 않는데, 페이크 힌트인지 모르겠다. sqlmap을 사용해서 sql injection을 사용하니 admin 계정과 john계정을 발견하였다. ffuf을 이용해서 user 파라미터를 발견하였고, admin의 history에서 github를 발견하고 내용을 git clone 해보았다. system 명령어로 cmdcntr 파라미터에 값을 실행하는 것을 볼 수 있다. sh -i ..

Windows Log: 이벤트 뷰어 자세한 내용은 SysInternals ms 사이트에서 참조하면서 확인

ssh 포트가 filtering 되어있음. port knocking일 가능성이 있음. 🛡️ Port Knocking이란?Port Knocking은 외부에서 보이지 않던 포트를 “특정 순서대로” 접근하면, 내부 방화벽이 열리는 기술입니다.🎯 목적:서버의 접근 가능 포트를 숨겨서 보안 강화정상 사용자만 특정 패턴을 통해 포트를 열 수 있도록 함🔐 어떻게 작동하냐면?서버는 모든 포트를 닫아둔 상태예요 (SSH, RDP 등 포함)클라이언트가 정해진 포트 순서로 접근 시도함예: 7000 → 8000 → 9000 순서로 SYN 패킷 전송서버는 이 패턴을 감지함특정 IP에 대해 방화벽 규칙을 임시로 열어줌예: 192.168.1.100에 대해 port 22 (SSH) 허용사용자는 이제 포트를 통해 접속 가능 ba..

GrayLog: MongoDB를 default로 log data를 적재함. 용량이 많이 필요함 sudo timedatectl set-timezone Asia/Seoul#시스템 설정sudo sysctl -psudo sysctl -w v.max_map_count=262144echo "vm.max_map_count=262144" | sudo tee /etc/sysctl.d/99-graylog-datanode.confsudo sysctl -psudo apt install -y gnupg curl #gnupg = gpg key로 패키지 점검에 사용curl -fsSL https://www.mongodb.org/static/pgp/server-7.0.asc | sudo gpg -o /usr/share/keyrings..

Nagios : Nagios는 서버, 네트워크, 애플리케이션 등의 IT 인프라를 모니터링하는 오픈 소스 소프트웨어입니다. 시스템 관리자들이 서버가 정상 작동하는지, 네트워크 장비에 문제가 없는지, 서비스가 다운되지 않았는지 등을 실시간으로 감시할 수 있게 해줍니다.#ubuntusudo apt install -y build-essential libgd-dev openssl libssl-dev unzip apache2 php libapache2-mod-php php-gdsudo apt update -ysudo useradd nagiossudo groupadd nagcmdsudo usermod -a -G nagcmd nagiossudo usermod -a -G nagcmd www-datacd /tmpwget..

SIEM(Security Information & Event Management):wazuh: open source SIEM: 기본 cpu와 메모리공간이 많이 듬8gb RAM, cpu 4개, 50GB 하드로 가상머신을 생성해봄. single mode: 하나의 시스템에 wazuh indexer, wazuh server, wazhu dashboard #ubuntu 가상머신 생성curl -SO https://packages.wazuh.com/4.12/wazuh-install.sh && bash /wazuh-install -a# -a : 설치, -u : uininstall, -o: overwrite, -i: hardware 경고 무시하고 설치 #설치완료 시 id와 비밀번호가 출력되는데 복사해놓음sudo syst..

netdiscover -r 192.168.16.0/24nmap -sC -sV -p- 192.168.16.96gobuster dir -u http://192.168.16.96 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt#/css, /manual, /js, /img 발견 js에서 주석을 발견함. cookie값을 이용해서 AES로 SecretPassphreaseMomentum을 키값으로 decrypt해본다. Redis(Remote Dictionary) - Server : 인메모리 기반의 데이터 저장소 ps에서 확인해보니 Redis서버가 실행중

DB Replication Master DB / Slave DB#serverdnf install -y mariadb-serversystemctl start mariadb# replica db의 버전과 master db의 버전이 같아야 함mysql_secure_installation#sql dump단일 백업 ------------------------------------------------------------------------#mysqldump -u root -p --all-databases > alldb.sql#mysqldump -u root -p mysql > mysql_bak.sql#mysqldump -u root -p mysql user > mysql_user.sql#데이터 없이 테이블 구..

netdiscover -r 192.168.16.0/24 - 192.168.16.93 발견nmap -sC -sV -p- 192.168.16.93 - 22, 80번 포트 open 확인 atlas.jpg를 확인해보면 이미지 중간에 지도가 있는데 확인해보면 md5 해쉬함수를 샤용한다는 힌트를 얻을 수 있다.dirb http://192.168.16.93 gobuster dir -u http://192.168.16.93 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt - 별다른 결과가 없음gobuster dir -u http://192.168.16.93 -w /usr/share/wordlists/dirbuster/directory-list-2.3..

DB보안추구 DDL(Data Definition Language) - 데이터 정의어DML(Data Manipulation Language) - 데이터 조작어DCL(Data Control Language) - 데이터 제어어 CRUD: Create, Read, Update, Delete /etc/my.cnf.d/mariadb-server.cnf 37번 라인 원격접속 ip 지정 0.0.0.0시 모두허용 mariadb에서 계정 생성시 create user 'test'@'localhost' identified by '1234';는 로컬에서만 이 계정으로 접근가능create user 'test'@'%' identified by '1234';는 외부에서 원격으로 이 계정에 접속가능 %는 mariadb에서의 와일드카..