일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
- sql인젝션
- #C언어 #연산자
- rce
- elasticsearch
- node.js
- wargame
- Index
- windows
- elk stack
- Credential Access
- pwnable
- 시스템해킹
- filesystem
- ATT&CK
- Threat Intelligence
- #whitespace #
- 침해사고
- PetitPotam
- forensic
- Mitre
- 가이드라인
- AD
- exploit
- 랜섬웨어
- 백엔드개발자
- software
- 정보보안
- 프론트엔드개발자
- error 583066
- SQLMap
- Today
- Total
목록전체 글 (67)
Plit00's Story
Atomic Red Team을 이용하여 작성한 글입니다. Credential Access(자격 증명 인증) : 계정 이름 및 암호와 같은 자격 증명을 훔치는 기술(키 로깅, 덤프) T1606 Forge Web Credentials Web Cookie : 웹 응용 프로그램이나 인터넷 서비스에 액세스하는데 사용할 수 있는 웹 쿠키 조작 SAML Token - 유효한 SAML 토큰 서명 인증서를 소유하고 있는 경우 모든 권한 클레임 및 수명을 사용하여 위조할 수 있다. - SAML 토큰의 기본 수명은 1시간이지만 NotOnOrAfter 값에서 유효 기간 지정 - 위조된 SAML 토큰을 사용하면 공격자가 SAML 2.0을 SSO 메커니즘으로 사용하는 서비스에서 인증 가능[AccessTokenLifetimeLif..
공격자가 더 높은 수준의 권한을 얻으려고 합니다. 권한 상승은 시스템 또는 네트워크에 대한 더 높은 수준의 권한을 얻기 위해 사용하는 기술로 구성됩니다. 일반적인 접근 방식은 시스템 약점, 잘못된 구성 및 취약점을 이용하는 것입니다. 권한 상승로컬 관리자특정 시스템에 액세스하거나 특정 기능을 수행하는 사용자 계정 관리자와 같은 액세스 권한이 있는 사용자 계정 시스템/루트 수준 T1547 Boot or Logon Autostart Execution 공격자는 시스템 부팅 또는 로그온 중에 프로그램을 자동으로 실행하여 지속성을 유지하거나 손상된 시스템에서 더 높은 수준의 권한을 얻도록 시스템 설정을 구성할 수 있습니다. Add a driver Timestep May 11, 2022 @ 18:09:37.433 ..
OS Credential Dumping: LSASS Memory 프로세스의 메모리 공간에 저장되는 도메인, 로컬 사용자 이름 및 비밀번호를 LSASS라고 한다. 사용자가 Logon 후 시스템은 LSASS 프로세스 메모리에 자격 증명 자료를 생성하고 저장한다. 이는 LSASS 프로세스 메모리를 특정 호스트에서 덤프하고 로컬 시스템에서 분석이 가능하다. EX) 특정 호스트 procdump -ma lsass.exe lsass.dmp procdump를 이용하여 lsass.exe를 dmp 덤프를 한다. 그 후 로컬로 파일을 옮기면된다. Lsass 메모리 덤프 파일을 분석 하기위해서 필요한 도구는 Mimikatz이다. > sekurlsa::Minidump lsass.dmp > sekurlsa::logonPasswo..
Registry는 Windows 중요한 데이터와 Windows가 실행되는 Applicationn 및 Service를 포함하는 계층적 Database이다. Date는 tree 형식으로 구성되고, 트리의 각 노드를 키라고 한다. Lsa(lsass.exe)를 설명하기전 알아야하는것이 있는데 -winlogon(winlogon.exe) : 윈도우 로그인 프로세스의 한 부분 -GINA(msGINA.dll) : winlogon에서 msgina.dll을 로딩하여 사용자가 입력한 계정 및 pw를 LSA에 전달 LSA - SRM이 생성한 로그 기록 - 모든 계정의 로그인에 대한 검증 - 시스템 자원, 파일 접근 권한 검사 SAM(사용자 계정 정보를 해쉬값으로 변환하여 저장) - 계정 정보 DB관리 - 사용자 로그인 정보와..
Windows Windows에서 주체가 객체에 접근하기 위해 사용되는 접근 권한 정보 EX) System 권한(= Linux의 root)과 유저 계정을 구별하기위해 생성되는 계정별로 SID를 준다. Windows에 Local이나 Network를 통해 Logon하게 되면, 사용자에 대한 password를 물어보게되고 이게 대한 정보가 *SAM(In Registry)에 저장된 정보와 일치하게 되면 System에서 Logon을 허용하고 Access Token이 관리되고, 이 사용자의 접근에 Access Token이 사용되는 형식이다. 한 가지를 예로 들면, 네이버 로그인 창에 Id 와 PW를 입력하면 쿼리를 보내 DB에 있는 정보와 사용자가 입력한 ID,PW가 맞는지 확인하고 로그인이 된 후, 그에 대한 권한..