보안맨

아주 쉬운 암호학 문제이다. vpxoa{eP5o_4_R4mH_pK_1_4421_9952} 라는 암호문이 주어져 있다. 그냥 봐서는 어떤 의미의 단어인지 전혀 모르겠다. 해킹대회 문제는 문제 제목이나 내용이 아주 엄청난 힌트가 되는 경우가 많다. 문제 제목을 잘 보자. I'll Have The Salad 이다. 여기서 주목할 부분은 샐러드인데 암호학과 샐러드가 연관있는 부분이 무엇이 있을까? 위에 있는 사진은 위키백과에 있는 '시저 셀러드' 사진이다. 시저 카디니라는 사람이 개발해서 시저 샐러드라고 부른다고 한다. 시저의 스펠링은 Caesar 인데 Caesar는 '카이사르' 라고도 읽힌다. 들어본 사람도 있겠지만, 카이사르는 로마의 황제 이름이다. 카이사르는 동맹군들과 소통해기 위해서 위 그림처럼 알파벳을..

칼리 리눅스에 이어서 Ubuntu Linux 최선버전 다운로드 및 설치 방법에 대해 알아보자. 우분투는 데비안 계열의 리눅스이며, 영국의 캐노니컬이라는 기업에서 개발 및 배포하는 운영체제이다. 보통 서버용 리눅스로 많이들 사용하는데, 해킹공부를 할때 칼리 리눅스만 이용하는것이 아니라, 우분투를 이용해서 취약한 웹 서버를 구축하고 칼리 리눅스로 우분투 웹서버를 공격하는 식으로 실습을 많이 했었다. 물론 칼리 리눅스 안에다가 웹서버 올려서 해도 되긴 하지만 실감나는 실습을 위해 그렇게 하곤했다. 구글에 ubuntu download 라고 검색하면 맨 위에 Dowonload Ubuntu Desktop 페이지가 나온다. 클릭해서 들어가면 바로 다운로드 페이지로 이동할 수 있다. 맨 위에 있는 Ubuntu 20.0..

10점짜리 웹해킹 문제이다. 문제 설명을 보면 Find a way to make a redirection to a domain other than those showed on the web page 라고 적혀있다. 웹페이지에 제동된 도메인 외에 다른곳으로 리다이렉션 시킬 방법을 찾아보라고 한다. 문제페이지에 접속하면 가운데 Social Networks 라고 적혀있고 페이스북, 트위터, 스택 3가지 버튼이 있다. 각 버튼을 클릭하면 실제 SNS 페이지로 이동이 된다. 어떻게 장난을 쳐볼지 고민하기전에 우선 F12를 눌러 개발자도구로 웹 소스를 확인해준다. 개발자도구의 소스 탭에서 웹 소스를 자세히 살펴보면 버튼이 있는 부분에 태그가 있는것을 볼 수 있다. a태그는 링크를 다른 웹피이지로 링크를 걸어주는 역..

처음으로 풀어봤던 OSINT 관련 문제이다. OSINT는 Open Source Intelligence 의 약자로 공개출처정보라는 뜻이다. 말 그대로 공개된 출처에서 얻은 정보들을 의미한다. 해킹대회에서는 구글이나 네이버 검색처럼 누구나 쉽게 접근해서 얻을수 있는 정보들을 이용해서 의미있는 새로은 정보를 만들어내거나 알아내는 방식으로 진행된다. OSINT 문제는 문제 설명도 불친절하다. 맨위에 캡쳐본을 보면 알겠지만 'See what you can find' 라는 말만 달랑 있고 밑에는 AUCTFShh 라는 단어 하나만 달랑 주어진다. 저 주어진 단어로 뭔가 의미있는 정보를 찾아보라는 것이다. OSINT 문제를 풀때 OSINT Framework 라는것을 많이 이용힌다. https://osintframewo..

2017년 8월 취득한 유도 2단 단증이 커다랗고 한자도 써있어서 마음에 든다. 태권도와 달리 유도는 애정을 가지고 열심히 했었다. 2015년 11월에 초단 승단을 했으니 그 이후로 약 2년정도 꾸준하게 유도장을 다녔었다. 2단 승단 후에도 6개월 정도 더 다니다가 일 시작하면서 자연스럽게 그만두게 되었다. 낙법을 마치고나서 업어치기를 처음으로 배웠었다. 아무래도 유도에서 가장 기본적인 기술 중 하나이고, 보통 사람들이 유도하면 가장 먼저 떠올리는 기술이 업어치기라서 그런것 같다. 업어치기만 거의 4~5개월동안 연습했었다. 몸치라 그런가 생각보다 내 몸이 이상적인 업어치기 자세로 안움직여서 그거 교정하는데 시간이 엄청 걸렸다. 허리를 세우고, 양 발은 11자로 정렬하고, 상대를 잡은 팔은 앞쪽으로 멀리 ..

아주조금 복잡한 리버싱 문제 대회가 끝나고 풀어서 캡쳐가 원활하지 않다. chall2.elf 파일이 주어진다. elf파일은 Executable and Linkable 의 약자로 보통 리눅스에서 실행되는 파일이다. 리눅스의 exe 파일이라고 생각하면 된다. 이런식으로 실행이 가능하다. ./chall.elf 라고 입력하면 실행이 된다. 프로그램을 실행하면 passwd > 라는 창이 나오면서 비밀번호를 입력하라고 한다. 이 문제의 의도는 이 비밀번호를 알아내는 것이다. IDA 라는 디스어셈블러를 이용해 해당 파일을 열어본다. main 함수를 보면 비밀번호가 맞으면 "Correct Password..." 틀리면 "Wrong Password..." 을 프린트한다는것을 알 수 있다. 해당 그래프가 있는 화면에서 F..

5점짜리 아주 쉬운 웹해킹 문제 사실 너무 쉬워서 해킹이라고 부르기도 좀 그렇다. 문제 페이지에 접속하면 로그인 창이 보인다. 비밀번호를 맞춰서 로그인해야하는듯 하다. f12를 눌러 개발자 도구의 '소스' 탭을 확인해 본다. HTML에서 로 처리된 부분은 주석을 의미한다. 웹 소스의 3~14번째 줄을 보면 알 수 있듯이 주석으로 처리된 부분은 웹 페이지에서 동작하지 않고, 회색으로 보이게 된다. 마찬가지로 26~32번째 줄 역시 주석으로 처리되어있는데 아무런 글자가 보이지 않는다. 이건 사실 문제 낸 사람이 장난질 해놓은거다. 스크롤을 오른쪽 끝까지 땡기면 주석으로 쓰여진 내용이 보인다. 주석에는 표시된것 처럼 비밀번호가 적혀있다. 개발자들이 흔히 하는 실수 중 하나로, 개발 당시에 테스트 용으로 달아놓..

2015년 11월 취득한 유도 초단 유도는 특이하게 1단이라고 안하고 초단이라고 부른다. 원래 초단 승단하면 A3정도 크기의 상장형 단증을 주는데 관리를 잘못해서 어디갔는지 모르겠다. 급하게 재발급 받았는데 카드형 단증으로 받았다. 큼지막한 상장형이 더 멋진데.. 아쉽다. 갑자기 유도를 시작하게 된건 아주 우연이었다. 2월에 태권도 1단 승단을 하고나서 '이제 그만할까..'라고 고민하던 와중에 페이스북에서 2008년 베이징 올림픽 당시의 최민호선수 한판승 모음 동영상을 보게되었다. (참고 : https://youtu.be/XYc15eK1Mkw) 이때 최민호선수가 예선부터 결승까지 모두 한판승으로 이겼는데 이게 너무 멋있어보였다. 특히 결승전이 대박이었는데 상대 선수 다리를 잡고 그냥 뽑아서 패대기쳐버리는..

Kali Linux 최신버전 설치 및 다운로드 방법에 대해서 알아보자. 칼리리눅스는 Offensive Security에서 개발한 데비안 기반의 리눅스 운영체제이다. 모의해킹 공부를 할때 거의 필수적으로 사용하는데 칼리리눅스 안에는 수십가지 해킹 도구와 툴들이 내장되어있기 때문이다. 여기 보이는것들이 공식홈페이지에서 소개된 칼리리눅스 내장 도구 목록이다. (한 화면에 다 안들어와서 극히 일부분만 보인다.) 귀찮게 여러 툴들을 따로 설치하지 않아도 되기 때문에 공부하는 입장에서 아주 편리하다. 공식 홈페이지에서 무료로 다운로드가 가능하며, 가상 머신에서 주로 사용한다. 가상머신 구동을 위한 VMware 설치방법 : https://hackingstudypad.tistory.com/54 구글에 Kali Linu..

VirtualBox는 오라클(ORACLE)에서 개발하고있는 프로그램이다. VMware Workstation 처럼 컴퓨터안에서 또다른 리눅스/윈도우 등 기반의 컴퓨터(가상머신)을 구동할 수 있도록 해준다. (VMware 설치법 : https://hackingstudypad.tistory.com/54) VMware처럼 해킹 공부를 할때 VirtualBox도 많이 이용한다. 실습이 중요한 해킹공부에서, 공격코드도 짜보고 악성코드도 만들어보고 공격툴도 돌려보려면 실제 환경이 아닌 가상 환경에서 해야 법적인 문제없이 자유롭게 테스트 할 수 있기 때문이다. 가장 중요한 차이는 VMware는 유료인 반면 VirtualBox는 무료다! 개인적으로 VMware가 더 성능도 좋고 편리하다고 생각하지만 일반적인 수준에서 크..