보안세상

macro-spreadsheets.zip OfficeMalScanner.zip 참고 사이트 : http://digital-forensics.sans.org/blog/2009/11/23/extracting-vb-macros-from-malicious-documents 보통 수신된 메일에 첨부 파일 MS Office 파일을 클릭 시 악의적인 VBA 매크로 코드가 실행되어 백도어 및 봇에 감염되는 경우가 있음.OfficeMalScanner.exe 파일을 이용하여 MS Office 파일의 악의적인 VBA 매크로 코드를 추출할 수 있음 ( 1 ) OfficeMalScanner.exe OfficeMalScanner.exe 는 Frank Boldewin 씨가 만들었으며 쉘 코드, PE 파일, 임베디드 된 OLE 스트..

물리적 메모리논리적 메모리1. 프로그램이 생성할 때부터 종료할 때까지 메모리에 상주하는 부분A. main() 함수와 함수코드(Function)B. 전역변수(Global Variable)C. 정적변수(Static Variable)2. 프로그램 실행 도중에 생성 및 소멸되는 부분A. 지역변수(Local Variable)B. 매개변수(Parameter)C. Heap 메모리에 생성된 데이터 함수 또는 클래스 스택 영역(Stack) 지역변수, 매개변수와 같이 쓰고 지우는 일이 빈번한 데이터는 스택영역을 사용한다. 스레드 당 1개씩 생성되며, 기본 크기는 1MB이다. 용량이 작아서 이 용량을 초과할 경우 Stack Overflow라는 에러 메시지가 발생한다. 링킹시 옵션으로 “/STACK:reserve [.comm..

Wireshark 에서 FTP 서비스로 전송된 파일을 추출하는 방법은 Wireshark -> File -> Export Objects 로 추출이 안되며 NetworkMiner 툴로도 추출이 안되는 것으로 확인됨 아래 방법으로 추출 먼저 필터에 ftp 를 입력하여 정확하게 어떤 파일들이 전송되었는지 확인 (해당 화면에서는 zip.zip 파일이라는 것을 확인)그리고 필터에 ftp-data 를 입력하여 전송된 파일의 데이터를 추출함. 마지막 패킷에 오른쪽 마우스를 누른 후 Follow TCP Stream 를 누름출력되는 데이터 스트링은 전송된 파일의 완전한 파일 데이터해당 창의 Save As 를 눌러 파일을 저장하여 추출

LAND Attack 검색(ip.src == ip.dst) && (tcp.srcport == tcp.dstport || udp.srcport == udp.dstport) NMAP 을 이용한 ICMP Echo Request with no data 검색(ip.flags == 0x00) && (icmp.type == 8 && icmp.code == 0) && (icmp.seq == 0) && (not data) NMAP 을 이용한 TCP SYN to port 443 검색(ip.flags == 0x00) && (tcp.flags == 0x0002) && (tcp.dstport == 443) NMAP 을 이용한 TCP ACK to port 80 검색(ip.flags == 0x00) && (tcp.flags == ..

스위치의 가상 랜(VLAN)설정은 하나의 스위치를 여러개의 분리된 스위치 처럼 사용 가능 하도록 지원해 주는 기능입니다. 1. 기본 정보 조회 switch>en

( 1 ) njRAT .NET 으로 만들어진 RAT 툴로 키로깅, 웹캠 액세스 등 다양한 기능을 제공하는 것으로 확인됨.최근 이슈되고 있으며 시리아 등 중동 해커 그룹에서 인기가 많은 것으로 확인됨 ( 2 ) njRAT Builder 봇넷 생성기임.Host : C&C 서버 IP (봇넷은 리버스 쉘을 이용하여 C&C 서버 접근)Port : C&C 서버 Port (0.6.4 버전 디폴트 Port - 1177, 0.7d 버전 디폴트 Port - 5552)VicTim Name : 봇넷 이름ExeName : Copy 옵션 체크 시 해당 이름으로 파일 생성됨.Directory : Copy 옵션 체크 시 해당 디렉토리에 파일 생성됨.그 밖에 각종 옵션들이 있음.참고로 옵션 중 "Protect Process[BSOD]..

safe-mode: off (not secure) drwxrwxrwx c99shellinurl:c99.phpinurl:c99.php uid=0(root)root c99.php"Captain Crunch Security Team" inurl:c99inurl:c99.phpallinurl: c99.phpinurl:c99.phpinurl:"c99.php" c99shellinurl:c99.php uid=0(root)c99shell powered by adminc99shell powered by admininurl:"/c99.php"inurl:c99.phpc99 shell v.1.0 (roots)inurl:c99.phpallintitle: "c99shell"inurl:"c99.phpallinurl: "c99.php..

보통 DBMS에서 SQL injection 취약점이 존재하지만, Cookies에서도 SQL 인젝션을 구현할 수 있다. http://xmcn.com/city의 개발의 1세트의 개방의 소스코드의 지역사회 절차이다; 여개의 문서는 변수가 존재하여 아직 특수 문자를 필터링하지 않기 때문이고, 사용자가 불법으로 침투하여 관리자 비밀번호를 얻는다. 문제 문서는 비교적 많기 때문이고, 여기를 특별히 1개의 간단한 user photo.asp을 골라 가져 해명으로 한다. user photo.asp 스크립트는 사용자 사진을 올린 것으로 사용자를 검증하여 이미 로그온된 것인지를 체크한다. if Request.Cookies("NC")=" " or Request.Cookies("NC")="방문객 "then Response.Wr..

블름필터가 하드웨어 컴퓨터 구조에서 쓰인다니 몰랐네요.복잡하고 투박한 h/w지만 실제 로직은 s/w와 별반 다를점이 없네요.정말 신기한건 컴퓨터 구조에서 확률적 자료구조라는 점이 너무 신기해서 링크 가져왔습니다.빅데이터 처리도 이런식으로 연관이 되네요. Probabilistic Data Structures for Web Analytics and Data Mining - See more at: http://mkseo.pe.kr/blog/#sthash.jcbK83Xm.dpuf

0. 데이터베이스 조회- SHOW DATABASES; 1. 데이터베이스 생성- CREATE DATABASE DB네임; 2. 테이블명 수정- ALTER TABLE 기존테이블명 RENAME 바꿀테이블명 3. 데이터베이스 삭제- DROP DATABASE DB네임; 4. 테이블 조회- SHOW TABLES; 5. 테이블 생성- CREATE TABLE 테이블명( 컬럼명 TYPE NULL/NOT NULL 컬럼명 TYPE, 컬럼명 TYPE) 6. 테이블 삭제- DELETE FROM 테이블명 (WHERE 조건)- DROP TABLE 테이블명 7. 컬럼추가- ALTER TABLE 테이블명 ADD 컬럼명 TYPE NOT NULL DEFAULT '기본값'; 8. 컬럼에 내용삽입- INSERT INTO 테이블명 VALUES(..