해킹왕 양선규

정보보안을 전공했다면, 또한 화이트 해커의 꿈이 있다면 누구나 가고싶을 회사인 안랩. 나 또한 중학교 3학년 시절 해커의 꿈을 정했을 때부터 시작해 지금까지도 가장 가고싶은 회사다. 사실 이렇게 빨리, 그리고 갑자기 이력서를 제출할 것이라곤 전혀 예상하지 못했다. 더 많은 공부를 하고, 블로그에 더 많은 워게임 풀이를 올리고, 토익까지 700점 이상을 달성한 후에 천천히 구직을 할 생각이었지만, 매일 습관적으로 들어가던 안랩 홈페이지에 공개채용 공고가 뜬 것을 보고, 허겁지겁 포트폴리오를 만들고 블로그 글도 채우고 자소서도 어찌어찌 작성해서 매일매일 끝없는 검토를 한 후에, 이제는 제출해도 되겠다 싶어 제출하였다. 안랩은 가장 가고싶던 회사였기에, 천천히 준비하려던 나의 기준을 전부 깨게 만들었다. 이력..

IOLI CrackMe 0x02 입니다. 리버싱을 통해, 프로그램 password를 알아내야 하는 문제입니다. 저는 리버싱을 위해 radare2 프로그램을 사용하겠습니다. radare 실행 후 aaaa 명령어로 프로그램을 분석해 주었습니다. 함수목록입니다. 특별한 함수는 보이지 않아 main 기준으로 분석하겠습니다. main함수 입니다. 위쪽에서 프로그램 실행 시 문자열을 출력하고 있고, 844e 부분에서 var_ch 위치의 값과 eax값을 비교하고 있습니다. 8451 부분에선 두 값이 일치할 경우, 점프하지 않고 그대로 진행하고 있습니다. (일치하지 않으면 지정된 위치로 점프) 두 값이 일치할 경우의 프로그램 진행입니다. Password OK 문자열을 출력하고 있는데요, 이것을 보아 위쪽 cmp 비교구..

IOLI CrackMe 0x01 입니다. 저번 레벨과 마찬가지로 password를 알아내는 문제입니다. r2 -d crackme0x01 -> radare2 프로그램 디버깅 모드로 문제파일 실행 aaaa -> 프로그램 분석 afl -> 함수목록 출력 특별히 보이는 함수는 main 뿐입니다. main함수 기준으로 분석해 보도록 합시다. pdf @ main main 함수입니다. 8400, 8407 : 프로그램 시작 문자열 출력 840c, 8413 : "Password: "문자열 출력 8426 : 사용자로부터 입력받는 부분 842b : 어떤 숫자 2개를 비교하고 있음 8432 : 점프구문, 앞의 비교구문에서 두 값이 동일할 경우 지정된 위치로 점프함 대략 이런 구조입니다. 제가 봤을땐 842b 부분의 cmp d..

IOLI CrackMe 0x00 입니다. 리버싱 연습하기 좋은 문제이며, 0x00 부터 0x09 까지 있습니다. 0x00 문제를 실행해 보았습니다. Password 입력을 요구해서 "1234"를 입력하였으나 인증에 실패했습니다. 리버싱을 통해, Password값을 알아내야 합니다. r2 : radare2 프로그램 실행 명령어 -d : 디버깅 모드로 실행 리버싱엔 radare2 프로그램을 사용하겠습니다. aaaa 명령어로 프로그램 분석 후, afl 명령어로 함수 리스트를 출력하였습니다. 눈에 띄는 함수가 main 밖에 없군요. main함수를 기준으로 분석해 보도록 하겠습니다. pdf @ main main 함수입니다. 분석해 보도록 합시다. 이 부분을 보시면, 프로그램 실행 시 출력문이 저장된 부분이란 것을..

IOLI CrackMe 0x03 입니다. 리버싱은 한번도 해본 적 없었습니다만.. Leviathan 1번 문제가 리버싱 문제였기에, 리버싱을 공부하기 위해 풀어본 문제입니다. 문제 파일 링크입니다. https://github.com/mattetti/IOLI-crackme GitHub - mattetti/IOLI-crackme: crackme exercises with instructions to learn in a safe environment crackme exercises with instructions to learn in a safe environment - GitHub - mattetti/IOLI-crackme: crackme exercises with instructions to learn i..

Natas Level 6 입니다. Level 6 메인 페이지 입니다. 드디어 입력 폼이 생겼습니다. 특정 비밀번호를 맞추면 될 것 같은데요.. SQL Injection 인가 싶어서 우회구문도 넣어보고, 스크립트문도 넣어보고 했지만 효과가 없었습니다. 오른쪽에 View sourcecode를 눌러보면, 페이지 소스코드가 나옵니다. 가운데에 PHP 구문이 있네요. 비밀번호를 입력받고 검증하는 코드인 것 같습니다. 저는 코드 보는게 제일 싫습니다... PHP문법은 잘 모르지만, 대충 보면 다른 경로에서 secret.inc 파일을 include(참조, 불러오기 같은) 하고 있습니다. 또한 if 문을 통한 비밀번호 검증이 이뤄지고, 성공하면 password 출력, 아니면 Wrong secret 문구가 출력되도록 구..

Natas Level 5 입니다. 메인 페이지 입니다. 로그인이 되어있지 않아 액세스 허용이 안되어있다고 합니다. 음.. 분명히 접속할때 아이디와 password를 입력했는데 말이죠. 딱히 뭔가를 입력할 폼도 파라미터도 안 보이고.. Level 4처럼 상대를 속여볼까요? Burp Suite를 이용해 Request패킷을 조작해서, 내가 로그인 된 상태라고 인지하도록 속여 봅시다. Burp Suite 실행해서 Intercept is on 눌러준 후, 문제 페이지에서 "새로고침"(F5) 을 눌러 줍시다. 이렇게 Request 패킷을 잡았습니다. Level 4 에서는 Referer 부분을 수정했었죠. 하지만 이번엔 보이지 않네요.. 하지만 10행에 Cookie 헤더가 보이십니까? 헤더 내용 끝부분까지 따라가 보..

1. 본인 소개 26살이고 보안관련 학과 4학년에 재학 중이며, 졸업을 앞두고 있습니다. 네트워크, 시스템, 애플리케이션보안 등 과목을 성실히 수강한 편입니다. 리눅스마스터 1급 자격증 보유 중이고 케이쉴드주니어(정보보안 교육 프로그램) 교육을 이수했습니다. 프로그래밍언어는 파이썬을 조금 공부했습니다. 워게임 풀이, 실무경험, 대회경험 등은 없습니다. ​ 상세하게 말씀드리는 이유는, 처음 보안기사에 도전하고자 하는 분들이 공부계획과 기준을 편하게 잡을 수 있도록 해드리기 위함입니다. ​ 필기는 65점, 실기는 66점으로 합격했습니다. ​ ​ 2. 공부한 교재/강의 2022알기사 교재로 공부하였습니다. 단 전공자이기 때문에 기초지식이 어느정도 있었던 터라, 문제편 위주로 공부했습니다. ​ 필기 이론서 : ..