Ctrl + Shift + ESC

모듈 2 소개가상화 : 단일 컴퓨터의 하드웨어 요소를 일반적으로 가상 머신(VM)이라고 하는 다수의 가상 컴퓨터로 분할할 수 있도록 해주는 기술하이퍼바이저 : 가상 머신과 실제 하드웨어 사이에서 조정해주는 역할멀티 테넌시 : 여러 가상머신이 기본적인 하드웨어를 공유하는 것  Amazon EC2 인스턴스 유형 범용 인스턴스컴퓨팅, 메모리, 네트워킹 리소스를 균형 있게 제공애플리케이션, 게임, 백엔드 서버에 적합컴퓨팅 최적화 인스턴스고성능 프로세서를 활용하는 컴퓨팅 집약적인 애플리케이션에 적합고성능 웹 서버, 컴퓨팅 집약적 애플리케이션 서버 및 게임 전용 서버에 적합많은 트랜잭션을 처리해야 하는 일괄 처리 워크로드에 사용 가능메모리 최적화 인스턴스메모리에서 대규모 데이터 집합을 처리하는 워크로드에 빠른 성능..

모듈 1 소개클라이언트-서버 모델 클라이언트 : 컴퓨터 서버에 요청을 보내기 위해 상호 작용하는 웹 브라우저 또는 데스크톱 애플리케이션서버 : 가상 서버인 Amazon Elastic Compute Cloud(Amazon EC2)와 같은 서비스 클라우드 컴퓨팅온디멘드 제공온디맨드 제공 : AWS가 사용자에게 필요한 리소스를 필요한 순간(On-demand)에 전달할 수 있다는 뜻 미리 통보하지 않고도 필요한 스토리지를 필요한 순간에 바로 사용스토리지가 필요 없어지면 반환하여 비용 지불을 바로 중단배포 모델클라우드 기반 배포기존 애플리케이션을 클라우드로 마이그레이션클라우드에서 새 애플리케이션을 설계 및 빌드 혹은 실행온프레미스 배포프라이빗 클라우드 배포가상화 및 리소스 관리 도구를 사용하여 리소스를 배포애플리..

iframe Injection iframe은 HTML 문서 안에서 또 다른 HTML 문서를 출력하는 태그로, 어느 위치든 상관없이 인젝션 공격을 할 수 있다. iframe 인젝션은 독립적으로 만들 수 있어서 HTML 인젝션 중에서도 공격에 자주 사용한다. HTML 인젝션에서 사용하는 태그와 마찬가지로 페이지 내에 iframe 태그를 주입하는데, 주로 악성 URL을 삽입한 후 사이즈를 0으로 설정하여 숨기는 방법을 사용한다. 따라서 사용자가 의도하지 않은 악성 웹 사이트에 접속하거나 경고창을 띄울 수 있다. 이번 실습에서 목표로 하는 것은 success 경고창을 띄우는 것이다. 난이도 low iframei.php 페이지는 GET 방식으로 데이터를 전송받으므로 URL에 변수를 노출한다. 변수는 ParamUr..

XML XML은 데이터를 트리 구조의 노드로 표현하며 사용자 정의로 데이터를 분류한다. f matrix 위의 예시에서 최상위 노드는 'movies'고 하위 노드는 'action'이다. action의 하위 노드에는 'id'와 'name'이 있다. 이렇듯 XML로 사용자는 다양한 데이터를 편의에 맞게 분류할 수 있다. Xpath Xpath는 일종의 쿼리로, XML 데이터베이스 내용을 선택하고 조작하기 위하여 사용한다. XML은 트리 구조로 정의되어 있어서 다음 예시처럼 '/' 문자를 사용하여 최상위 노드부터 질의할 곳을 지정한다. $result = $xml->xpath ('/movies/action[id='" .$id ."' and name='" .$name . "']"); 이외에도 Xpath에 사용하는 명..

XML XAML은 데이터를 트리 구조의 노드로 표현하며 사용자 정의로 데이터를 분류한다. f matrix 위의 예시에서 최상위 노드는 'movies'고 하위 노드는 'action'이다. action의 하위 노드에는 'id'와 'name'이 있다. 이렇듯 XML로 사용자는 다양한 데이터를 편의에 맞게 분류할 수 있다. Xpath Xpath는 일종의 쿼리로, XML 데이터베이스 내용을 선택하고 조작하기 위하여 사용한다. XML은 트리 구조로 정의되어 있어서 다음 예시처럼 '/' 문자를 사용하여 최상위 노드부터 질의할 곳을 지정한다. $result = $xml->xpath ('/movies/action[id='" .$id ."' and name='" .$name . "']"); 이외에도 Xpath에 사용하는 ..

HTML Injection Injection 인젝션 : 공격자가 악의적으로 주입한 데이터를 웹 애플리케이션에서 데이터베이스의 정상적인 쿼리 일부로 인식하고 실행할 때에 발생하는 취약점 데이터를 입력받거나 데이터베이스 정보를 요청하는 곳에는 인젝션 공격이 가능하다. 공격 방법이나 사용 언어에 따라 인젝션의 종류가 달라지는데, 대표적인 유형으로 SQL 인젝션, HTML 인젝션, OS Command 인젝션, LDAP 인젝션 등이 있다. ​ HTML 인젝션 HTML 인젝션 : 코드 인젝션 공격의 하위 개념으로, 취약한 매개변수에 악의적인 HTML 코드를 삽입하는 공격 공격자는 사용자가 연결을 요청한 페이지에 HTML 태그를 삽입하여 의도하지 않은 내용을 보게 하거나 악의적인 사이트에 연결 시킬 수 있다. ​ H..

A1. Injection 1. HTML Injeciton HTML Injeciton - Reflected (GET) HTML Injeciton - Reflected (POST) HTML Injeciton - Reflected (Current URL) HTML Injeciton - Stored (Blog) 2. Other Injection iframe Injection LDAP Injection (Search) Mail Header Injection(SMTP) OS Command Injection OS Command Injection - Blind PHP Code Injection Server-Side Includes (SSI) Injection 3. SQL Injection SQL Injection (G..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

문제 설명 이 문제는 사용자에게 문자열 입력을 받아 정해진 방법으로 입력값을 검증하여 correct 또는 wrong을 출력하는 프로그램이 주어집니다. 해당 바이너리를 분석하여 correct를 출력하는 입력값을 찾으세요! 획득한 입력값은 DH{} 포맷에 넣어서 인증해주세요. 예시) 입력 값이 Apple_Banana일 경우 flag는 DH{Apple_Banana} https://dreamhack.io/wargame/challenges/17 rev-basic-3 Reversing Basic Challenge #3 이 문제는 사용자에게 문자열 입력을 받아 정해진 방법으로 입력값을 검증하여 correct 또는 wrong을 출력하는 프로그램이 주어집니다. 해당 바이너리를 분석하여 correct를 출 dreamhac..

서론 이번 코스에서는 드림핵 워게임 중 patch문제를 함께 풀어보면서 이제껏 학습한 지식과 도구를 응용해 본다. patch 문제는 아래의 링크에서 확인할 수 있다. https://dreamhack.io/wargame/challenges/49/ patch flag를 그리는 루틴을 분석하고 가려진 flag를 보이게 해주세요. Reference GDI+ - Win32 apps | Microsoft Docs Graphics Functions - Win32 apps | Microsoft Docs File — x64dbg documentation dreamhack.io 본 문제의 파일은 플래그를 이미지로 출력해주지만 일부가 가려져있어 플래그를 읽을 수 없는 상태의 프로그램이다. 이번 코스를 마치면 본 문제를 해결..