HW_chick hacker

개요Talion은 위협 행위자가 샌드박스 환경에서 탐지를 피하기 위해 가상화 방지 검사를 수행했을 것으로 의심합니다. 여러분의 임무는 이벤트 로그를 분석하고 가상화 탐지에 사용된 특정 기법을 파악하는 것입니다. Byte Doctor는 공격자가 이러한 검사를 수행하기 위해 실행한 레지스트리 검사 또는 프로세스에 대한 증거를 요구합니다. 1. 공격자는 가상화 감지를 위해 모델 및 제조업체 정보를 검색하는 데 어떤 WMI 클래스를 사용했습니까?# flagWin32_ComputerSystem 2. 공격자는 시스템의 현재 온도 값을 검색하기 위해 어떤 WMI 쿼리를 실행했습니까?# flagSELECT * FROM MSAcpi_ThermalZoneTemperature 3. 공격자가 가상화를 탐지하기 위해 Po..

개요바이트 닥터 레이예스는 예상했던 여러 보안 로그와 Windows Defender 경고가 누락된 것으로 보이는 은밀한 침해 후 공격을 조사하고 있습니다. 그는 공격자가 방어 회피 기법을 사용하여 보안 제어를 비활성화하거나 조작하여 탐지 활동을 상당히 복잡하게 만들었다고 의심합니다. 내보낸 이벤트 로그를 활용하여 공격자가 어떻게 시스템 방어 시스템을 손상시켜 탐지되지 않도록 했는지 파악하는 것이 목표입니다. 1. 공격자는 레지스트리 키를 수정하여 손상된 호스트에서 LSA 보호를 비활성화했습니다. 해당 레지스트리 키의 전체 경로는 무엇입니까? Microsoft-Windows-Sysmon 원본에서 이벤트 ID 1에 대한 설명을 찾을 수 없습니다. 이 이벤트를 발생시킨 구성 요소가 로컬 컴퓨터에 설치되어 있..

개요Byte Doctor는 공격자가 프로세스 주입 기법을 사용하여 정상 프로세스 내에 악성 코드를 실행하고 파일 시스템에 최소한의 흔적만 남긴 것으로 추정합니다. 로그에는 공격에 사용된 특정 주입 방식을 암시하는 Win32 API 호출이 드러납니다. 여러분의 임무는 API Monitor라는 도구를 사용하여 이러한 로그를 분석하여 주입 기법을 파악하고 어떤 정상 프로세스가 공격의 표적이 되었는지 파악하는 것입니다. 1. 어떤 프로세스 주입 기법이 사용되고 있나요? 힌트: T***** L**** S******TlsCallback_0 함수가 main() 함수보다 먼저 사용되고 있으며 Thread Local Storage (TLS) Callback 취약점이라고 생각할 수 있다.# flagThread Loca..

웹 페이지 접근 시 검색 창에 SQL 쿼리를 넣어 데이터를 추출하는 문제이다. ' (싱글 쿼터) 삽입sqlite3.OperationalError: unrecognized token: ""%')" - "%') 이 존재에 SQLlite 구조상 맞지가 않아 오류가 나옴 Dessert"%')"sqlite3.OperationalError: near """": syntax error Dessert"%')+union+select+'1','2','3','4','5','6','7','8'--+-pydantic_core._pydantic_core.ValidationError: 2 validation errors for Recipedate_created Datetimes provided to dates should ..

💉 Exploit🛠️ Step 1. 코드 분석 server.js// importsconst express = require('express');const fs = require('fs');// initializationsconst app = express()const FLAG = fs.readFileSync('flag.txt', { encoding: 'utf8', flag: 'r' }).trim()const PORT = 3000// endpointsapp.get('/', async (req, res) => { if (req.header('a') && req.header('a') === 'admin') { return res.send(FLAG); } return res.se..

💉 Exploit🛠️ Step 1. main.py 분석 main.py### IMPORTS ###import flask, redis, os### INITIALIZATIONS ###app = flask.Flask(__name__)app.config['SECRET_KEY'] = os.urandom(32).hex()HOST = "redthis-redis"### HELPER FUNCTIONS ###def getData(key): db = redis.Redis(host=HOST, port=6379, decode_responses=True) value = db.get(key) return valuedef getAdminOptions(username): adminOptions = [] i..

0. 서론 및 취약점 환경 구성0-1. 취약점 설명해당 취약점은 컨테이너 런타임 컴포넌트 중 하나인 runc 모듈에서 발생한다. 파일 디스크립터 노출 및 잘못된 WORKDIR 설정 취약점잘못된 WORKDIR 설정과 파일 디스크립터 노출로 인해 도커 컨테이너의 격리가 무너질 수 있다. runc와 같은 실행 도구는 컨테이너 실행 시 여러 파일 디스크립터를 관리하는데, WORKDIR이 호스트 파일 시스템과 연결될 경우 해당 디스크립터가 컨테이너 프로세스로 전달될 수 있다. 이로 인해 컨테이너 내부에서 호스트 파일에 접근할 위험이 발생하며, 궁극적으로 컨테이너 탈출 및 시스템 침해로 이어질 수 있다. 따라서, WORKDIR을 신중히 설정하고 불필요한 파일 디스크립터 노출을 방지해야 한다. 0-2. 취약점 발생 ..

File Inclusion ?주로 PHP 애플리케이션에서 발생하는 취약점 중 하나로 include() 함수로 다른 파일을 소스 코드에 직접 삽입할 수 있고, 일반 사용자가 웹 요청을 통해 include 할 파일을 직접 설정할 수 있는 경우 발생되는 취약점동적으로 파일을 로드할 때 발생하는 취약점으로 로드하는 파일의 위치에 따라 LFI(Local File Inclusion)과 RFI(Remote File Inclusion)으로 구분된다.LFI ( Local File Inclusion ) ?공격자가 공격 대상 서버에 위치한 파일을 include 하여 공격즉, 로드하는 파일의 위치가 공격 대상에 위치한다.RFI (Remote File Inclusion ) ?원격으로 외부 서버에 있는 파일을 include 하여..