일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
- 가이드라인
- rce
- windows
- software
- AD
- elk stack
- error 583066
- #C언어 #연산자
- wargame
- PetitPotam
- Threat Intelligence
- ATT&CK
- exploit
- forensic
- filesystem
- 랜섬웨어
- pwnable
- #whitespace #
- 프론트엔드개발자
- Mitre
- 침해사고
- node.js
- Credential Access
- 백엔드개발자
- 정보보안
- sql인젝션
- elasticsearch
- 시스템해킹
- SQLMap
- Index
- Today
- Total
목록* (67)
Plit00's Story
Windows Windows에서 주체가 객체에 접근하기 위해 사용되는 접근 권한 정보 EX) System 권한(= Linux의 root)과 유저 계정을 구별하기위해 생성되는 계정별로 SID를 준다. Windows에 Local이나 Network를 통해 Logon하게 되면, 사용자에 대한 password를 물어보게되고 이게 대한 정보가 *SAM(In Registry)에 저장된 정보와 일치하게 되면 System에서 Logon을 허용하고 Access Token이 관리되고, 이 사용자의 접근에 Access Token이 사용되는 형식이다. 한 가지를 예로 들면, 네이버 로그인 창에 Id 와 PW를 입력하면 쿼리를 보내 DB에 있는 정보와 사용자가 입력한 ID,PW가 맞는지 확인하고 로그인이 된 후, 그에 대한 권한..
Access Token OS 권한 관리 PC User단위 오브젝트(acl)에 권한이 있냐 없냐 User기반 인증 체계 Mobile App단위 사용자가 누군지 모르지만 app base인증 체계 PC Linux 특정 오브젝트에 acl 걸어둠 Windows Access Token 발급 Access Token Info User’s Account SID 유저가 구성원인 그룹의 SID 현재 LogginSession을 식별하는 Logon SID User 또는 User_Group이 보유한 privilege list Owner SID Primary Group SID 사용자가 보안 설명자를 지정하지 않고 보안 개체를 생..
T1595 Active Scanning(액티브 스캐닝) [https://attack.mitre.org/groups/G0139/] - 주로 클라우드 및 컨테이너된 환경을 타겟으로 삼는 TEAMTNT 그룹이 사용합니다. Docker API에 대한 취약점 스캔을 했던 그룹 - .001 Scanning IP Blocks 특정 아이피 주소 검색 해당 실습 : nmap - nmap -sT 192.168.246.134 ==> connet()함수를 이용한 Open 스캔(TCP) - .002 Vulnerability Scanning T1592 Gather Victim Host Information(피해자 호스트 정보수집) [https://cybersecurity.att.com/blogs/labs-research/scan..
# 초기 전술 초기 액세스는 다양한 진입 벡터를 사용하여 네트워크 내에서 초기 발판을 확보하는 기술로 구성됩니다. 발판을 마련하는 데 사용되는 기술에는 표적 스피어피싱 및 공개 웹 서버의 약점 악용이 포함됩니다. 초기 액세스를 통해 얻은 기반은 유효한 계정 및 외부 원격 서비스 사용과 같은 지속적인 액세스를 허용하거나 비밀번호 변경으로 인해 사용이 제한될 수 있습니다. # T1189 Drive-by Compromise - 공격자는 일반적인 탐색 과정에서 웹사이트를 방문하는 사용자 통해 시스템에 액세스할 수 있습니다. 이 기술을 사용하면 일반적으로 사용자의 웹 브라우저가 악용의 대상이 되지만 공격자는 Application Access Token 획득과 같은 악용이 아닌 행동을 위해 해킹된 웹사이트를 사용할..
T1583 (Acquire Infrastructure) 공격자는 표적을 지정하는 동안 사용할 수 있는 기반 시설을 구매, 임대 또는 임대 적의 작전을 호스팅하고 조정하기 위한 다양한 인프라가 존재합니다. 인프라 솔루션에는 물리적 또는 클라우드 서버, 도메인 및 타사 웹 서비스가 포함됩니다. 또한 봇넷은 임대 또는 구매할 수 있습니다. [https://michaelkoczwara.medium.com/cobalt-strike-c2-hunting-with-shodan-c448d501a6e2] - .001 Domains 표적화하는 동안 사용할 수 있는 도메인을 구매할 수 있습니다. 구매한 도메인을 피싱, Drive-by 도용, 명령 및 제어를 비롯한 다양한 목적으로 사용 공격자는 상형 문자를 사용하거나 다른 최..
https://www.elastic.co/kr/downloads/beats/packetbeat Download Packetbeat | Elastic Download Packetbeat, the open source tool for getting insight into your network data, including protocols like HTTP, DNS, and MySQL, traveling over the wire in real time. www.elastic.co 1. 해당 서버에 npcap가 설치가 되어있지않다면, 설치해주시면됩니다. 2. Packetbeat 설치 PS C:\packetbeat-8.1.1-windows-x86_64 > .\install-service-packerbeat.ps..
https://www.elastic.co/kr/downloads/beats/winlogbeat Download Winlogbeat | Ship Windows Event Logs | Elastic Download Winlogbeat, the open source tool for shipping Windows event logs to Elasticsearch to get insight into your system, application, and security information. www.elastic.co 환경 : DC Server: Windows 2012 Server R2 C:\ 하위로 winlogbeat를 설치합니다. Winlogbeat.yml setup.kibana: hosts: ["Your_IP..
[Elasticsearch] sudo vim /etc/elasticsearch/elasticsearch.yml network.host를 자신의 IP로 변경하고 http.port 9200으로 변경하고 나머지는 위와 같이 변경합니다. sudo systemctl status elasticsearch [Kibana] sudo vim /etc/kibana/kibana.yml server.post: 5601 server.host: "0.0.0.0" elasticsearch.hosts:["http://Your_IP:9200"] 재시작 후 상태확인 elasticsearch.hosts에 작성한 주소를 들어가 확인할 수 있다. [Filebeat] sudo vim /etc/filebeat/filebeat.yml output..