두번째 시나리오다. 이번에는 아래와 같은 것들을 알아내야 한다. 1.공격에 성공한 공격자의 ip 2.공격자 이외 서비스에 접근한 ip 3.공격자가 시스템에 침투하기 위해 접근한 서비스 포트 4.공격자가 이용한 취약점 5.공격자가 리버스 공격을 위해 사용한 포트 6.공격자가 올린 웹쉘의 이름 7.공격자가 웹쉘을 올린 뒤에 사용한 명령어들 /attack/shell.jsp?sort=1&dir=%2Fvar%2Flib%2Ftomcat5.5%2Fwebapps 을 url 디코딩하면 /attack/shell.jsp?sort=1&dir=/var/lib/tomcat5.5/webapps 와 같다. 따라서 dir=/var/lib/tomcat5.5/webapps 에 공격 파일을 업로드 했다. 정리해보자. 1.공격에 성공한 공격..

시나리오 시나리오 안에서 잡힙 패킷 캡처본을 가지고 1.공격자의 ip주소 2.공격자 서비스에 접속하기 위해 사용한 계정정보 3.공격자가 공격하기 위해 사용한 대상 주소 URL 4.공격자가 사용한 파일 이름 5.공격자가 획득한 개인 정보 6.공격자가 시스템에 침투한 후에 실행한 명령어 와 같이 6개의 질문에 답해야 한다. 처음 패킷 캡처본을 봤는데 신기했다. 캡처본 파일은 아래와 같았다. 이때 이름이 'backdoor'인 의심되는 파일이 확인된다. 앞에서 봤던 파일을 확장자를 pcap으로 따로 저장했다. 이를 networkminer에 드래그 해서 패킷 검사도 가능하다. 이를 종합해서 답을 정리해보자. 1.공격자의 ip주소는 192.168.206.152 2.공격자 서비스에 접속하기 위해 사용한 계정정보는 b..

networkminer NetworkMiner는 윈도우 환경에서 작동하는 네트워크 트래픽 분석 도구로, 네트워크에서 전송되는 데이터를 캡처하고 분석하는 기능을 제공한다. 이 도구는 네트워크 트래픽을 모니터링하고, 트래픽에 포함된 파일들을 추출하고 분석함으로써 네트워크 상에서의 활동을 이해하는 데 도움을 준다. 주요 기능과 특징 네트워크 트래픽 캡처 : NetworkMiner는 네트워크 인터페이스에서 패킷을 캡처하고 저장할 수 있다. 이를 통해 네트워크 활동을 모니터링하고, 특정 시간 동안의 패킷 흐름을 기록할 수 있다. 패킷 분석 및 디코딩 : NetworkMiner는 캡처한 패킷을 디코딩하여 프로토콜 정보와 데이터를 분석한다. 다양한 프로토콜의 패킷을 시각적으로 나타내어 편리하게 분석할 수 있다. 파일..

exploitdb Exploit Database(ExploitDB)는 컴퓨터 시스템과 소프트웨어의 보안 취약점을 포함하는 공용 데이터베이스 및 리소스 저장소다. ExploitDB는 보안 연구자, 해커, 보안 전문가, 시스템 관리자 등의 사용자들에게 취약점 관련 정보와 관련된 다양한 도구 및 리소스를 제공한다 malware traffic analysis 악성 소프트웨어 트래픽 분석(Malware Traffic Analysis)은 악성 코드가 생성한 네트워크 트래픽을 분석하여 해당 악성 코드의 행동과 특성을 이해하는 프로세스를 말한다. 이를 통해 보안 전문가들은 악성 코드가 어떻게 작동하며 어떤 유형의 공격을 시도하는지 파악하고 대응할 수 있다. wireshark sample capture "Wireshar..

wireshark Wireshark는 네트워크 프로토콜 분석 도구로, 네트워크 상에서 전송되는 데이터를 캡처하고 분석하는 데 사용되는 오픈 소스 소프트웨어다. Wireshark를 사용하면 네트워크 트래픽을 실시간으로 모니터링하거나 저장된 트래픽 데이터를 분석하여 네트워크 문제를 진단하고 디버깅할 수 있다. 주요 기능 패킷 캡처 : Wireshark는 네트워크 인터페이스에서 패킷을 캡처하고 저장할 수 있다. 이를 통해 네트워크 트래픽을 분석하거나 문제를 해결하는 데 도움을 준다. 패킷 분석 : Wireshark는 다양한 프로토콜의 패킷을 디코딩하여 분석할 수 있다. 사용자는 패킷의 내용, 헤더 정보, 타임스탬프 등을 확인할 수 있다. 필터링 및 검색 : Wireshark는 패킷 데이터를 필터링하여 특정 프..