일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
- elasticsearch
- forensic
- windows
- Index
- #whitespace #
- filesystem
- sql인젝션
- ATT&CK
- AD
- elk stack
- Mitre
- Threat Intelligence
- PetitPotam
- rce
- 침해사고
- node.js
- 프론트엔드개발자
- software
- SQLMap
- 백엔드개발자
- 시스템해킹
- exploit
- wargame
- #C언어 #연산자
- 랜섬웨어
- 정보보안
- 가이드라인
- Credential Access
- pwnable
- error 583066
- Today
- Total
목록Security (37)
Plit00's Story
Pagination - index&tag 서칭을 통해 찾아본 결과 npm elasticsearch-Pagination이 있어 관련 모듈을 쓰면 된다했지만 없는걸 확인하고 하나씩 구현함 elasticsearch match_all로 검색을 한다면 10개 밖에 안보여주기 때문에 페이지네이션을 통해 출력 단, 출력하려는 index_name의 ids와 tag_index의 ids가 동일하게 매칭되어야 정상적으로 출력됨 client.search에서 index: ['index_name' , 'tag_index']로 검색되도 정상적으로 출력됨을 확인했지만 원하는 바로 출력하려 했을때의 방법은 찾지 못해 하나씩 불러오는 과정으로 만듬 또한, 10개밖에 안보여주는것을 size를 임의로 지정하여 전체적으로 설정할 수 있지만 ..
원하는 정보가 있는 get index/_search의 구조는 hits.hits._source이다. elasticsearch 모듈을 사용하여 연결한다. const elasticsearch = require("elasticsearch") const client = new elasticsearch.Client({ hosts: ["http://localhost:9200"] }); kibana Rest api에서 밑과 같은 쿼리를 보낸다면 모든 정보를 불러온다 hits에서 미리보기는 10개까지 불러오기때문에 우리는 value값만 보면 된다. relation : eq에서 eq란 value의 값과 상태가 같다는 뜻이다. Get index/_source { query:{ match_all:{} } } elasticse..
Atomic Red Team을 이용하여 작성한 글입니다. Credential Access(자격 증명 인증) : 계정 이름 및 암호와 같은 자격 증명을 훔치는 기술(키 로깅, 덤프) T1606 Forge Web Credentials Web Cookie : 웹 응용 프로그램이나 인터넷 서비스에 액세스하는데 사용할 수 있는 웹 쿠키 조작 SAML Token - 유효한 SAML 토큰 서명 인증서를 소유하고 있는 경우 모든 권한 클레임 및 수명을 사용하여 위조할 수 있다. - SAML 토큰의 기본 수명은 1시간이지만 NotOnOrAfter 값에서 유효 기간 지정 - 위조된 SAML 토큰을 사용하면 공격자가 SAML 2.0을 SSO 메커니즘으로 사용하는 서비스에서 인증 가능[AccessTokenLifetimeLif..
공격자가 더 높은 수준의 권한을 얻으려고 합니다. 권한 상승은 시스템 또는 네트워크에 대한 더 높은 수준의 권한을 얻기 위해 사용하는 기술로 구성됩니다. 일반적인 접근 방식은 시스템 약점, 잘못된 구성 및 취약점을 이용하는 것입니다. 권한 상승로컬 관리자특정 시스템에 액세스하거나 특정 기능을 수행하는 사용자 계정 관리자와 같은 액세스 권한이 있는 사용자 계정 시스템/루트 수준 T1547 Boot or Logon Autostart Execution 공격자는 시스템 부팅 또는 로그온 중에 프로그램을 자동으로 실행하여 지속성을 유지하거나 손상된 시스템에서 더 높은 수준의 권한을 얻도록 시스템 설정을 구성할 수 있습니다. Add a driver Timestep May 11, 2022 @ 18:09:37.433 ..
OS Credential Dumping: LSASS Memory 프로세스의 메모리 공간에 저장되는 도메인, 로컬 사용자 이름 및 비밀번호를 LSASS라고 한다. 사용자가 Logon 후 시스템은 LSASS 프로세스 메모리에 자격 증명 자료를 생성하고 저장한다. 이는 LSASS 프로세스 메모리를 특정 호스트에서 덤프하고 로컬 시스템에서 분석이 가능하다. EX) 특정 호스트 procdump -ma lsass.exe lsass.dmp procdump를 이용하여 lsass.exe를 dmp 덤프를 한다. 그 후 로컬로 파일을 옮기면된다. Lsass 메모리 덤프 파일을 분석 하기위해서 필요한 도구는 Mimikatz이다. > sekurlsa::Minidump lsass.dmp > sekurlsa::logonPasswo..
Registry는 Windows 중요한 데이터와 Windows가 실행되는 Applicationn 및 Service를 포함하는 계층적 Database이다. Date는 tree 형식으로 구성되고, 트리의 각 노드를 키라고 한다. Lsa(lsass.exe)를 설명하기전 알아야하는것이 있는데 -winlogon(winlogon.exe) : 윈도우 로그인 프로세스의 한 부분 -GINA(msGINA.dll) : winlogon에서 msgina.dll을 로딩하여 사용자가 입력한 계정 및 pw를 LSA에 전달 LSA - SRM이 생성한 로그 기록 - 모든 계정의 로그인에 대한 검증 - 시스템 자원, 파일 접근 권한 검사 SAM(사용자 계정 정보를 해쉬값으로 변환하여 저장) - 계정 정보 DB관리 - 사용자 로그인 정보와..
Windows Windows에서 주체가 객체에 접근하기 위해 사용되는 접근 권한 정보 EX) System 권한(= Linux의 root)과 유저 계정을 구별하기위해 생성되는 계정별로 SID를 준다. Windows에 Local이나 Network를 통해 Logon하게 되면, 사용자에 대한 password를 물어보게되고 이게 대한 정보가 *SAM(In Registry)에 저장된 정보와 일치하게 되면 System에서 Logon을 허용하고 Access Token이 관리되고, 이 사용자의 접근에 Access Token이 사용되는 형식이다. 한 가지를 예로 들면, 네이버 로그인 창에 Id 와 PW를 입력하면 쿼리를 보내 DB에 있는 정보와 사용자가 입력한 ID,PW가 맞는지 확인하고 로그인이 된 후, 그에 대한 권한..
Access Token OS 권한 관리 PC User단위 오브젝트(acl)에 권한이 있냐 없냐 User기반 인증 체계 Mobile App단위 사용자가 누군지 모르지만 app base인증 체계 PC Linux 특정 오브젝트에 acl 걸어둠 Windows Access Token 발급 Access Token Info User’s Account SID 유저가 구성원인 그룹의 SID 현재 LogginSession을 식별하는 Logon SID User 또는 User_Group이 보유한 privilege list Owner SID Primary Group SID 사용자가 보안 설명자를 지정하지 않고 보안 개체를 생..