상상이님의 블로그

https://www.boannews.com/media/view.asp?idx=134495 최고의 ‘보안 강연자’를 선발하다... ISEC 2024 ‘Best Speaker Award’ 시상식 개최아시아 최대 규모의 사이버 보안 콘퍼런스로 자리매김한 ISEC 2024(제18회 국제 시큐리티 콘퍼런스)에서 최고의 강연을 펼친 강연자에게 주는 ‘Best Speaker Award’ 시상식이 11월 20일 한국CISO협의회www.boannews.com 헛 isec (International Security Conference) 2024가 10월달 개최됐고 내년에는 2025년 8월 26일부터 27일까지 이틀간 서울 코엑스 D홀과 오디토리움에서 개최될 예정이라한다.  후후..내년에 가야지!! 신난다!! 이미 저거 ..

https://www.boannews.com/media/view.asp?idx=134444 [긴급] 레디스 DB 시스템에서 원격 코드 실행 취약점 발견... 소규모 기업 주의오픈소스 기반의 비관계형 데이터베이스 관리 시스템 ‘Redis(레디스)’에서 원격 코드 실행 취약점(RCE)이 발견됐다. 악의적 코드 실행·데이터 탈취 및 서버 제어 위험이 있어 신속한 보안 업데www.boannews.com  오 nosql db 시스템은 처음 본다 신기하네. 비관계형 데이터베이스 시스템생각해보니 사진, 영상 같은 틀로 관리하기 어려운 것들은 어떻게 저장하나 싶었는데 이런게 있었구나신기하다, 확실히 버퍼 오버플로우는..크흐흑. 고질적인 문제인 것 같다. canary나 pie나 relro나 nx 설정해서 패치하나? 궁금..

ㄹㄹㄹㄹ뤼벌씽~ 오랜만~~푸는거 제일 복잡하고 어려운데 제일 재밌음 ㅋㅋ답을 찾기위해 거꾸로 가는 여정이 즐거운 것 같다내가 왔던 길을, 거꾸로, 다시 내가 간 길을 찾기위해서     _0x9a220를 찾아 자세히 보자 스크립트 내부의 _0x9a220 함수를 보면,if 문에 의해 잘못된 값이 들어오면 alert 창을 띄운 후 return 되는 것이 보인다.이를 넘어가야 document에 무언가를 써주는데, 이것이 flag일 것 같다.코드를 분석하기보단, 6자리 생년월일이라는 제한이 있기 때문에브루트포싱이 빠르다고 판단되어 콘솔에 직접 코드를 쳤다.출처ㅣ https://velog.io/@c01dbr0th3r/DreamHack-Secure-Mail  brute force는 영어 뜻 그래로다 짐승같은 힘즉 비..

https://www.boannews.com/media/view.asp?idx=134387 국방부·법원 마비시킨 친러 핵티비스트 그룹의 무기 ‘디도시아’ 분석해보니2024년 11월 친러시아 성향의 해킹그룹이 국방부·서울중앙지방법원 및 법원 대다수 사이트 등 국내 주요 정부기관 웹사이트를 대상으로 디도스 공격을 시도했다. 우리나라의 우크라이나 무기 지www.boannews.com 신념에 따라 기술을 이용하는게 정말 무섭다. 자기가 정답이라 생각하기에, 신념, 전쟁이 일어나는 근본적인 원인이다모든 문제에는 양면성이있다 텔레그램의 강력한 보안과 개인정보 보호는, 결국 불법행위를 원하는 사람들의 유용한 도구가된다. 칼을 누가, 어떻게 사용하냐에 따라, 살인마가되고, 요리사가 되듯이.그렇다고 칼을 규제해야할까? ..

포렌식...첫 포렌식 문제다 ㄷㄱㄷㄱㄷㄱ떨린다..캬    포렌식 문제를 풀기전 스테가노그래피에 대해 먼저 알아보자.   **스테가노그래피 (Steganography)**는 정보를 숨기거나 숨긴 메시지를 전송하는 기술입니다. "스테가노그래피"라는 단어는 그리스어에서 유래했으며, "steganos"(덮개)와 "grapho" (쓰다)의 결합으로, 직역하면 "덮개에 쓰기"라는 의미를 가지고 있습니다. 즉, **스테가노그래피는 메시지를 눈에 띄지 않게 숨기는 기술**입니다. ### 스테가노그래피의 목적 스테가노그래피의 주요 목적은 숨겨진 정보를 누군가에게 전송하면서 그 정보의 존재를 감추는 것입니다. 일반적으로, 사람이나 시스템이 전송된 정보의 존재를 인식할 수 없도록 하는 것이 핵심입니다. 이는 암호화(Encr..

보호되어 있는 글입니다.

첫번째 문제 푼게 엊그제 같은데 벌써 70번째 문제다30일만 지나면 100번째 문제,하루에 한문제씩이지만, 그 하루가 쌓여 모인다.내일의 나는 또 얼마나 성장해있을까시간을 멈출 수 없다면, 시간의 흐름을 즐기고, 나아가자 오늘도, 즐기자         app.py 파일 소스코드다 import osfrom flask import Flask, request, render_templatefrom flask_mysqldb import MySQLapp = Flask(__name__)app.config['MYSQL_HOST'] = os.environ.get('MYSQL_HOST', 'localhost')app.config['MYSQL_USER'] = os.environ.get('MYSQL_USER', 'user')..

소스코드 보러가자   index.php 파일이다 Online Curl Request cache file: {$cache_file}"; echo ''. htmlentities($result) .''; return; } }else{ ?> URL ..

" . $FLAG .""; exit(); } else { echo "Wrong password.."; } }?> password : view-source do not brute force! 브루트포스는 막혔다.   `strcmp` 함수는 두 문자열을 비교하는 함수로, 두 문자열이 동일한지 여부를 비교하는 데 사용됩니다. `strcmp`는 **대소문자 구분** 및 **길이가 다른 경우**를 처리하며, 두 문자열이 완전히 동일하면 0을 반환합니다. 그런데 `strcmp` 함수는 **문자열이 일치할 때까지 비교를 진행하는 방식**이기 때문에 일부 취약점이 있을 수 있습니다. ### 취약점 분석 PHP의 `strcmp` 함수는 **정확..

get source 클릭했더니 php스크립트가 떴다 "; echo "FLAG : ".$FLAG; } }else{ echo "wrong.."; } }?>IDPW get source 이 PHP 코드는 사용자 로그인 정보를 처리하고, 특정 조건에 맞는 사용자가 로그인 시 **`$FLAG`**를 출력하는 시스템입니다. 이 코드에서의 핵심은 로그인 시 **`id`**와 **`ps`**를 이용해 데이터베이스에서 정보를 조회하는 부분과, 로그인 후 특정 계정이 차단되어 있는 경우입니다. 아래에 분석과 함께 플래그를 볼 수 있는 방법을 설명하겠습니다. ### 코드 분석 1. **`$_GET['view-source']`**:    - URL에 `?view-source` 파라미터가 포함되어 있으면 현재 파..