수요없는공급

이번 11월 14일(목)에 열린 UDC 2024 컨퍼런스를 참여하였다. 전체 세션에는 소식이 늦어 참여하지 못하였지만 선착순으로 '웹3 보안 토크' 세션을 들을 수 있는 기회가 생겨 해당 프로그램을 간신히 들을 수 있었다. 이 특별 프로그램은 정재용 책임자님의 발표와 티오리 박세준 대표님의 발표, 그리고 업사이드 아카데미 1기 우승팀 분들의 발표로 이루어져 있었다. 첫 번째로 정재용 정보보호최고책임자님의 발표에서 들었던 내용 중 인상깊었던 내용들을 조금이나마 정리해보겠다.보안 keynoteWeb 3.0 Security Incidents웹3 보안 사고들에 대한 통계를 보여주시며 공격 기법들과 그로 인한 피해 자산들을 보여주셨다.공격 방법들은 다음과 같다.Contract Vulnerability (48.3%..

Crypto ecb_mode from Crypto.Util.Padding import pad from Crypto.Cipher import AES from Crypto.Random import get_random_bytes from base64 import b64decode, b64encode flag = open('/flag', 'rb').read() BLOCK_SIZE = 16 key = get_random_bytes(16) crypto = AES.new(key, AES.MODE_ECB) while True: try: data = b64decode(input('plain text (base64) >> ')) except: print('Retry') continue enc_data = crypto.en..

이번 10월 21일에 열린 '더 해킹 챔피언십 주니어 2023'에 참여하여 본선에 진출하였다. 우리 팀은 2 문제를 풀고 간신히 본선에 진출할 수 있었고, 풀었던 문제와 아쉽게 못 푼 문제를 정리하겠다. BBBBB (crypto) from Crypto.Cipher import AES from Crypto.Util.Padding import pad, unpad import os BLOCK_SIZE = 16 KEY = os.urandom(BLOCK_SIZE) try: with open('flag.txt', 'rb') as f: FLAG = f.read() except: FLAG = b'flag{test_flagggggggggggggggggggggggggggggggggggggggggggggggggggggggg..

이번 제 27회 해킹캠프 CTF에서 웹해킹 문제에 해당 CVE와 유사한 문제가 출제되었다. 우선 CVE를 이용한 문제는 필자에게는 처음이었고, 대회가 끝나고 실제로 제보하신 스틸리언 윤석찬님의 풀이를 들으며 굉장히 흥미로운 취약점이라 생각되어 가볍게 분석? 공부를 해보았다. https://nvd.nist.gov/vuln/detail/CVE-2023-36053 NVD - CVE-2023-36053 CVE-2023-36053 Detail Modified This vulnerability has been modified since it was last analyzed by the NVD. It is awaiting reanalysis which may result in further changes to the..

이번 8월 26~27일 동안 1박 2일로 제 27회 해킹캠프에 발표자로 참여하였고 간단하게 후기를 작성해보고자 한다.(참고로 1일차에 진행되었던 CTF에 대한 문제풀이는 더 좋은 블로그들이 있으니 생략하도록 하겠다) 우선 본인은 해킹캠프를 2023년 2월달에 늦게 알게되었는데 동계에 참여하지 못했어서 이번에 처음으로 참여하였다. 하지만 정말 감사하게도 첫 참가였지만 '26회 해킹캠프 베스트 해커' 김희찬군과 공동 발표를 하여발표자로서 참여할 수 있었다. 해당 발표는 '악성코드 개발 도전기'라는 주제로, 둘째 날 점심 이후에 예정되어 있었는데첫째 날과 둘째 날의 앞선 대단한 발표들을 보고 괜시리 긴장이 되어서 점심도 안 먹고 구석에서 발표 연습을 마저 하곤했었다. 😅 발표의 내용을 대략적으로 소개하자면 ..

운좋게 11등으로 본선 진출을 하여 충남 아산에 있는 순천향대까지 직접 가서 대회를 하게 되었다.생각보다 캠퍼스도 이쁘고 쾌적한 것 같아서 마음에 들었다. 본선에서는 Web 문제 하나와 Crypto 문제 하나로 총 2문제를 풀었고 나머지 아깝게 풀지 못한 문제도 풀이를 해보겠다.WebC0nV3rT 15) { exit(); } $query = "SELECT * FROM yisf WHERE convert(" . $unserialized['sql1'] . ")= '" . $unserialized['sql2'] . "';"; echo "query : {$query}"; $result = @mysqli_fetch_array(mysqli_query($conn, $query)); ..

8월 11일부터 13일 동안 3일에 걸친 yisf 예선전을 처음으로 참가하였다.점수는 4340점으로 11등을 하여 본선에 진출할 수 있었다. 그럼 바로 풀이를 시작하겠다. WebMagic shopurl에 접속을 하면 이렇게 여러 아이템을 살 수 있는 페이지가 나오고, 그 중에서 플래그를 선택해서 구매해보면 이런 페이지가 나온다 burp suite를 사용하여 요청을 잡아보면이런 식으로 money를 전달하는 것을 볼 수 있는데 money에 값에 아무 것도 없다.그래서 money의 값을 flag의 값보다 높게 전달을 해보았더니flag를 얻을 수 있었다YISF{W0w_Pa4mete4_Man1Pulat10n}Customer Service(해당 문제는 언인텐으로 풀린 문제이기에 해당 풀이는 의도한 바와 전혀 다르다..

지난 4월 19일 서울에서 열린 Secure Korea April 2023 SANS Community Night에 참여하였다. 그날 들었던 강의는 Windows Fast Forensic Analysis 이라는 주제로, Zachary Mathis라는 강사님이 발표를 해주셨다. 맨 앞자리가 비어있길래 바로 앉아 강의를 들었고, 강의는 실시간 통역으로 이루어졌다. 강의 내용을 적어보자면 기존의 Windows 이벤트 로그 분석은 1) 분석하기 어려운 데이터 형식이고 2) 대부분의 데이터가 그냥 noise로서 조사에 유용하지 않기 때문에 매우 길고 지루한 프로세스였다. 강사님께서는 이에 대한 제대로 된 툴이 없는 것 같다고 생각하여 직접 도구를 만드셨다고 한다. (ㄷㄷ) 그 도구는 바로 Hayabusa (송골매)..

Go언어란? 구글에서 개발한 프로그래밍 언어로, C와 파이썬의 장점을 결합한 언어이다. Go 언어는 간결하면서도 효율적인 코드 작성이 가능하며, 병렬 처리에 강한 특징을 가지고 있다. 참고로 이 캐릭터의 이름은 고퍼(Gopher)라고 한다. Go 언어가 사용되는 분야 1. 클라우드 인프라 Docker, Kubernetes, Cloud Foundry와 같은 클라우드 인프라의 핵심 기술로 사용된다 2. 네트워크 프로그래밍 Go 언어는 네트워크 프로그래밍을 위한 기능들을 내장하고 있어, 서버와 클라이언트의 빠른 개발에 사용된다 3. 블록체인 블록체인과 관련된 프로젝트인 이더리움, Hyperledger Fabric 등에서 사용된다 4. 데이터베이스 데이터베이스와 관련된 프로젝트인 MongoDB, InfluxDB..

https://www.youtube.com/watch?v=fqnKJa02GK0 노마드코더의 이 영상을 보고 감명을 받아 포스팅하였다. 새로운 프로그래밍 언어를 배워야 하는 이유 우선 '내가 왜 새로운 프로그래밍 언어를 배워야 하는가'에 대한 의문을 파헤쳐보자. 만약 내가 파이썬 개발자였다면 새로운 언어를 배우기 시작하는 순간, 나의 파이썬 코드가 성장하는 것을 느낄 것이다. 새로운 프로그래밍 언어를 배우면서 그 언어의 코드 구조, 철학을 배우게 되고 그 철학을 파이썬 코드에 적용해보면 큰 도움이 될 것이다. 1. 공식문서를 살펴봐라 해당 공식문서를 보면서 언어의 철학, 누가 만들었는지, 누가 사용하는지, 베스트 이용사례 등을 알아보자 ex) VALORANT의 백엔드는 전부 go언어로 이루어져 있다고 함 ..