알려줘닷컴

MS-SQL 시스템 함수 PERMISSIONS  □  기능      1. 현재 사용자가 SQL 구문 중 어떠한 것들을 사용할 수 있는지 (읽기, 쓰기, 삭제 등)를 확인     2. 다른 사용자에게 어떤 SQL 권한을 부여해 줄 수 있는지를 확인 □  목표      SQL인젝션 공격 시 공격 목표 테이블에 대해 접근하고 사용 할 수 있는 권한은 어디까지 인지 확인 □  방법     목표 테이블의 id(컬럼) 값을 PERMISSIONS에 인자 값으로 대입 / 해석 □  퍼미션 확인 순서    1. 목표 테이블의 id 값을 조회하여 PERMISSIONS의 인자 값에 대입 “PERMISSIONS(인자값)”    2. PERMISSIONS(인자값) 입력으로 구한 값을 2진수로 변환    3. 변환된 2진수를, ..

모의해킹/웹 2024. 5. 27. 22:01

"본 블로그의 모든 정보는 합법적이고 윤리적인 보안 연구와 교육 목적으로만 사용되어야 합니다. 불법적인 해킹 및 악의적인        활동에 사용될 경우, 그 책임은 전적으로 사용자에게 있습니다." 웹페이지내 삽입된 불법 사이트 링크 코드 분석  □  개요     홈페이지 해킹 후 웹페이지내 불법사이트(도박, 광도 등) 링크 코드를 삽입하여 접속자 악성사이트로 접속을 유도하거나, 개인정보 입력을 유도 함.  □  삽입된 코드 원문 □  코드해석      1. 불법 사이트로 링크되는 코드이며, Javascript escape 암호화 / ASC Code 값이 변경된 코드 str2 ="&4D&32EPDUZQF&31IUNM&31QVCMJD&31&33.00X4D00EUE&31IUNM&315/1&31Usbotjuj..

사이버위협분석/악성 사이트 분석 2024. 5. 26. 12:23

유용한 구글 검색 옵션으로 검색 정확도를 높이자구글(Google) 검색 시 옵션을 적용하여 검색 정확도를 높이거나 새로운 방향으로 검색 범위를 넓힐 수 있습니다. 1. admin 문자열이 포함된 웹페이지 검색 2. 다양한 검색 옵션 옵 션예 제내 용allintitleallintitle:admin.co.kr제목에 포함된 단어를 검색allinanchorallinanchor:admin링크 글 안에서 검색allintextallintext:admin본문 안에서 검색allinurlallinurl:admin.co.krURL 안에서 검색cachecache:admin.co.kr구글이 캐시하고 있는 페이지 검색daterangedaterange:24100-31220페이지가 색인된 날짜 지정definedefine:ad..

컴퓨터 기본 지식/공통 2024. 5. 26. 11:51

윈도우10 원격접속 허용설정 방법 윈도우10 운영체제가 설치된 PC의 경우 원격접속에 대한 설정이 기본적으로 비활성화(사용안함) 상태이므로 A컴퓨터에서 B컴퓨터로 접속하는 경우 접속하려고하는 B컴퓨터에 "원격접속 허용 설정"이 되어있어야 접속이 가능 함. 1. 윈도우 검색창에 "원격" 입력 > 원격 데스크톱 설정 클릭 2. 원격 데스크톱 활성화 설정을 "끔"에서 "켬"으로 변경 합니다. 3. 원격 데스크톱 활성화 설정이 "켬"으로 설정되어 있을경우 원격에서 해당PC로 접속이 가능합니다. 이상. 끝.

컴퓨터 기본 지식/윈도우즈 2024. 5. 26. 11:28

제조사(개발자) 백도어 찾기 "본 블로그의 모든 정보는 합법적이고 윤리적인 보안 연구와 교육 목적으로만 사용되어야 합니다. 불법적인 해킹 및 악의적인 활동에 사용될 경우, 그 책임은 전적으로 사용자에게 있습니다." 목차 ­ㄴ 개요 ­ㄴ 백도어 찾기 기본정보 ­ㄴ 백도어 찾기 □ 개요 제조사 트러블 슈팅(장애대응) 또는 악의적인 목적의 백도어를 찾아보자□ 백도어 찾기 기본정보 1. IPTIME 2007년 해당 취약점이 있는 timpro.cgi 파일로 분석 함. (Firmware : t24000_kr_9_12.bin) 2. 트러블 슈팅을 위해 생성해 놓은 파일로 추정 3. 시스템(System)명령어 사용 포인트와 접근을 위한 인증정보(패스워드 등)를 확인한다...

모의해킹/IoT 2024. 5. 18. 23:47

UPnP 서비스를 이용한 해킹 "본 블로그의 모든 정보는 합법적이고 윤리적인 보안 연구와 교육 목적으로만 사용되어야 합니다. 불법적인 해킹 및 악의적인 활동에 사용될 경우, 그 책임은 전적으로 사용자에게 있습니다." 목차 ­ㄴ UPnP 서비스 기본정보 ㄴ UPnP 서비스 포트를 통한 포트포워딩 공격 ㄴ UPnP 서비스 OS커멘드(Command) 인젝션 공격 □ 개요 취약한 UPnP 서비스를 이용하여 시스템(무선 공유기)을 해킹해보자 ※ UPnP(Universal Plug and Play)는 별도의 포트 포워딩 설정 없이 응용프로그램을 사용할 수 있도록 자동으로 포트를 구성하는 기능입니다. ipTIME 공유기에서는 기본으로 활성화되어 있으며, UPnP를 활성화해야 번거로..

모의해킹/IoT 2024. 5. 18. 23:20

다운로드 및 추출한 펌웨어 분석하기 "본 블로그의 모든 정보는 합법적이고 윤리적인 보안 연구와 교육 목적으로만 사용되어야 합니다. 불법적인 해킹 및 악의적인 활동에 사용될 경우, 그 책임은 전적으로 사용자에게 있습니다." 목차 ­ㄴ 인증정보 위치 확인하기 ㄴ QEMU를 이용하여 VM 실행하기 ㄴ Firmadyne를 이용하여 펌웨어 실행하기(가상환경) ㄴ 취약점 찾기 팁 ㄴ 시스템 명령어를 사용하는 함수 찾기 팁 (* 커멘드인젝션 포인트 찾기) ㄴ 공유기 MAC입력값 검증페이지를 통한 시스템 명령어 실행 ㄴ C로 컴파일된 CGI파일을 분석 하기 ㄴ hostname에 시스템 명령어를 삽입 후 공유기 접속 □ 개요 다운로드 및 추출한 펌웨어(Firmwa..

모의해킹/IoT 2024. 5. 15. 17:03

펌웨어(Firmware) 다운로드 방법 "본 블로그의 모든 정보는 합법적이고 윤리적인 보안 연구와 교육 목적으로만 사용되어야 합니다. 불법적인 해킹 및 악의적인 활동에 사용될 경우, 그 책임은 전적으로 사용자에게 있습니다." 목차 ­ㄴ 개요 ㄴ IoT 기초자료 분석 팁 ㄴ 테스트 예제 : Q87-WT54GV70 ㄴ 메인보드에 장착된 칩셋 Data Sheet 확인하기 ㄴ Data Sheet 검색하는 방법 ㄴ UART(비동기식)핀 식별방법 ㄴ GND를 정확히 확인하는 방법 ㄴ 테스터기(멀티미터)로 TX/RX 구분 방법(통전테스트) ㄴ Logic Analyzer를 이용한 보드레이트(Buad rate) 계산 방법 ㄴ UART 연결 방법 □ 개요 펌웨어(Firm..

모의해킹/IoT 2024. 5. 11. 12:02