본문 바로가기

전체 글

 (60)
[Network] 네트워크 트래픽 분석 도구 - CapTipper 네트워크 트래픽 분석 도구 - CapTipper CapTipper는 HTTP 악성 트래픽을 분석, 탐색 및 부활시키는 파이썬 도구입니다. CapTipper는 PCAP 파일의 서버와 정확히 같은 역할을 하는 웹 서버를 설정하고 발견된 호스트, 개체 및 대화의 분석 및 검사를 위한 강력한 대화형 콘솔과 함께 내부 도구를 포함합니다. CapTipper는 github를 참조하여 간단하게 다운로드를 할 수 있다. 패킷 분석을 위해 준비한 Pcap을 CapTipper를 실행 할 때 참조하여 불러오면 Pcap 파일 내 URI, 파일들을 추출해 악성 여부를 자동으로 판단해 준다. - CapTipper 명령어 요약 명령어 설명 hosts [ID] 패킷 캡쳐 파일 내의 호스트 별 통신을 한눈에 정리 info [ID] 오브..
[Network] 네트워크 포렌식 도구 Xplico 네트워크 포렌식 도구 Xplico Xplico 는 NFAT( 네트워크 포렌식 분석 도구)로 패킷 스니퍼 (예: Wireshark , tcpdump , Netsniff-ng )로 수행된 수집 내용을 재구성하는 소프트웨어(오픈 포렌식 분석 도구)입니다 . 프로토콜에 의해 운반되는 데이터의 재구성이 주요 특징이 아닌 프로토콜 분석기(Wireshark) 와 달리 Xplico는 프로토콜의 애플리케이션 데이터를 재구성하는 것을 분명히 목표로서 웹 탐색의 원시 데이터를 갖고 있다고 생각할 수 있는 것을 명확히 하기 위해 모든 웹 페이지와 콘텐츠(쿠키, 이미지, 파일 등등), 프로토콜(IMAP, POP, SMTP 등)과 교환되는 전자메일을 재구성 할 수 있습니다. * 식별가능한 프로토콜(VoIP , MSN , IRC ..
[Network] Wireshark 통계 분석 Wireshark 통계 분석 Wireshark는 캡처한 패킷에 대하여 패킷 파일의 기본적인 통계 정보(시간, 파일 속성, 캡처 OS 정보 등), OSI Layer별 세부적인 데이터, 호스트 사이의 트래픽 통계, 송수신 데이터, 패킷 길이 등을 분석(타입, 정렬 등)하고 출력이 가능하다. 통계 기능 사용 방법 Wireshark 상단 메뉴에서 Statistics 메뉴를 선택하여 사용 가능하다. Properties 기본적인 통계 정보를 알려주는 Properties 기능은 탐지하는 OS의 정보 및 캡처 파일에 시간 등 파일과 필터에 대한 정보를 출력해준다. Protocol Hierarchy OSI layer별 세부적인 데이터를 확인 가능하며 빈도수가 높은 패킷을 찾기 위해 필수적인 기능이다. Conversati..
[Wireshark] Wireshark display filters 기능 Wireshark display filters 기능 Wireshark display filters는 네트워크 영역에서 송수신하는 패킷에 대하여 사용자가 지정한 패턴을 지정하여 확인하고 싶은 패킷만 출력할 수 있다. 이는 수 많은 네트워크 패킷을 정확 명료하게 확인하기 위하여 필수적인 기능이다. 디스플레이 필터는 ip, protocol, port, mac 등 데이터를 간략하게 입력하여 출력하는 방식과 필터 문법에 맞추어 검색하여 출력하는 방식이 있다. 아래는 디스플레이 필터에 대한 문법을 설명한 글이다. Protocol: 사용 가능한 값: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 프로토콜을 지정하지 않으면 모든 프로토..
[WireShark] Wireshark 정의 및 다운로드 Wireshark 정의 및 다운로드 정의 와이어샤크(Wireshark)는 자유 및 오픈 소스 패킷 분석 프로그램으로 네트워크상에서 캡처한 데이터에 대한 네트워크 상위 레이어 프로토콜의 정보를 제공하고 패킷을 캡처하기 위해 pcap 네트워크 라이브러리를 사용한다. 특징 실시간 네트워크 연결의 유선으로부터 데이터를 포획하고, 이미 포획한 패킷을 기록해둔 파일로부터 데이터를 읽을 수 있다. 실시간 데이터를 이더넷, IEEE 802.11, PPP, 루프백을 포함한 수많은 네트워크로부터 읽을 수 있다. 포획한 네트워크 데이터는 GUI나 터미널 (명령 줄) 버전의 유틸리티 TShark를 통해 탐색할 수 있다. 포획한 파일들은 editcap 프로그램으로의 명령 줄 스위치를 통하여 프로그래밍하듯이 편집하거나 변환할 수..
[BeeBox] 인젝션 공격 유형(AJAX) AJAX 인젝션 AJAX? AJAX란, JavaScript의 라이브러리중 하나이며 Asynchronous Javascript And Xml(비동기식 자바스크립트와 xml)의 약자이다. 브라우저가 가지고있는 XMLHttpRequest 객체를 이용해서 전체 페이지를 새로 고치지 않고도 페이지의 일부만을 위한 데이터를 로드하는 기법 이며 JavaScript를 사용한 비동기 통신, 클라이언트와 서버간에 XML 데이터를 주고받는 기술이다. 즉, 쉽게 말하자면 자바스크립트를 통해서 서버에 데이터를 요청하는 것이다. 비동기 방식이란? 비동기 방식은 웹페이지를 리로드하지 않고 데이터를 불러오는 방식이며 Ajax를 통해서 서버에 요청을 한 후 멈추어 있는 것이 아니라 그 프로그램은 계속 돌아간다는 의미를 내포하고 있다...
[BeeBox] 인젝션 공격 유형(OS & PHP & SSI(Server side Includes)) *가상환경 구축 후 실습을 진행할 것을 권고드리며 대외 서버 및 홈페이지에 해킹 시도는 불법입니다. OS Commnad 인젝션 - 시스템 명령어를 쿼리문에 주입하여 취약한 변수를 통해 서버 운영체제에 접근하는 공격 DNS lookup의 도메인에 대한 IP를 확인 시켜주는 웹 사이트가 존재한다. - 해당 웹 서버의 입력 시 실행 코드를 확인한 결과 시스템 명령어 실행 함수인 shell_exec를 통한 nslookup 명령어를 실행하여 홈페이지에 출력 결과를 보여주는 것을 확인했다. - shell_exec의 실행 명령의 취약점을 사용하기 위해 파이프(|)를 사용하여 공격자가 임의의 명령어를 실행을 한다. - 명령어를 추가 입력하는 파이프를 사용하여 웹 사이트에 입력한 결과 서버에서 명령이 실행되고 홈페이지에..
[BeeBox]웹해킹 HTML 인젝션 - Stored(POST) *가상환경 구축 후 실습을 진행할 것을 권고드리며 대외 서버 및 홈페이지에 해킹 시도는 불법입니다. XSS Reflected GET - 공격자는 XSS 스크립트를 취약점이 있는 웹 사이트의 게시글에 등재하고 웹 서버 데이터베이스에 악성 스크립트를 삽입한다. 그 후 다른 사용자가 공격자의 게시글에 있는 스크립트를 활성화 시 저장된 악성 스크립트 내용을 확인한 사용자의 PC에 HTML 태그가 실행되는 공격 이다. 공격 시나리오. 공격자가 웹 서버 DB에 악성 스크립트를 삽입한다. 희생자는 공격자가 악성 스크립트를 삽입한 게시글을 접근한다. 희생자가 웹 서버에 삽입된 스크립트를 읽고 실행한다. 희생자는 공격자가 삽입한 악성스크립트의 코드를 실행하여 공격자가에 희생자 정보를 전달한다. First name: La..

티스토리툴바