RZ BASE RZ BASE

친절하게 설명서를 준다 일단 아무거나 친다 그리고 Wrong이라는 말과 함께 빠구맥인다 그렇다 name과 시리얼을 뭔진 모르겟는데 어떻게 맞춰야 한다 어 음 수백번의 f8 끝에 제가 입력한 값이 이렇게 된다는 사실을 알아냄 그리고 저 부분이 내가 입력한 값을 뭐 어떻게 변환하는 과정이란걸 알아냄 여기서 충격적인 사실을 알아냈다, XOR ECX, EDX라는 줄이있는데 ECX 는 10 EDX는 내가 입력한 a의 아스키값(61) 고로 시리얼값의 5B134977135E7D13의 첫번째 5B는 뭐랑 10을 XOR 연산하면 나오는 값이라는 결론이 나온다 그 다음은 b의 아스키값(62)와 20을 XOR 연산한 값을 구하는데, 위 처럼 ??을 20으로 XOR연산해서 13이 나오는 값을 찾으면된다 그리고 그 다음엔 30..

기계어: 컴퓨터에게 명령 내릴려고 만든거, 0과 1로 구성 어셈블리어: 기계어가 사람이 보기 어려워서 어셈블리어를 만듬, 그리고 이를 기계어로 바꿔주는 어셈블러 개발 어셈블리어보다 더 쉬운 언어들(C, C++등)을 만들고 이를 기계어로 바꿔주는 컴파일러 개발 이러한 사람이 이해하기 쉬운 언어들을 고급언어라고 함, 기계어나 어셈블리어는 저급언어 컴파일러 : 소스코드를 어셈블리어로 바꿔줌 파이썬 자바스크립트는 컴파일 안함 대신 인터프리팅함 인터프리터: 사용자의 입력, 사용자의 스크립트를 그때 그때 번역하여 CPU에 전달 rax(accumlator regiser) 함수의 반환 값 rbx(base register) x64에서는 주된 용도 없음 rcx(counter register) 반복문의 반복 횟수, 각종 연..

대망의 첫번째 리버싱문제 이름부터 이지~크랰~이다 입력창이있으면 어떻게한다? 일단 아무거나쳐본다 물론 안된다 대충올리디버그 머시기, 조건문여러개가 있고 다 맞아야 정답!인 방식 그리고 오랜 시간이 흘렀다 어딘가에 저장된 a를 가져와서 내가입력한값의 2번째자리값 b를 때온다 그리고 그 둘을 비교, 맞으면 넘기고 아니면땡 이걸 아는데 오랜 노력을 들여야했다 하나를 알았는데 뒤에것도 다 비슷한 조건이었다 다음은 3번째자리를 5y를 비교 일단 우리가 아는건 이 정도이다(첫번째 글자가 뭔지는 모름) 5y의 뒤에는 R부터 하나씩 비교하는걸보니 저기써있는 R3versing을 붙여야되나봄 이제 맨앞의 X가 뭔지만 알면된다 저기보면 맨앞자리 X랑 HEX값 45 = 대문자 E 랑 비교하는 CMP가 있다 고로 답은 Ea5y..

흔히 말하는 나뭇잎책을 삿다. 이유는 악성코드분석을 제대로 이해하려면 리버싱을 알아야한다 리버싱을 알려면 어떻게 해야되냐 리버싱을 공부해야한다 리버싱을 공부하려면 리버싱책을 사야한다, 그래서 샀다 그리고 드림핵 강의를 속성으로 읽고 여러 개념들을 주입받았다 그 후 여러 워게임들을 풀어보았다 근데 풀어도 제대로 푸는게 아닌거같아서 여기 안올렸다 내가 완벽하게 이해한게 아니면 푼 것 같지가 않아서다 그래서 내가 낸 결론 처음부터 개념을 확실히알자 고로 리버싱 시리즈 한번 제대로 시작해보겠다 준비물: 헬로월드.exe 글씨가 개작다 옵션에가서 키워본다 나만 마인크래프트생각남? 딱 키면 검게 칠해진 부분이 보이는데 저곳이 EP(엔트리 포인트) 바이너리가 시작되는 부분이다 저 줄부터 순서대로 실행이된다고 이해하면된..

대충 실행하면 이런 화면을 보여줍니다 플래그를 마스킹 해놓은상황 바로 메인함수로 가서 코드를 구경. 일단 있는 함수 1400032F0을 눌러본다 그래픽과 관련된 뭐시기들이 있다 함수안의 또 하나의 함수 7FF6735F2C40을 눌러본다 매우매우 수상한 함수 더미들 발견 윗쪽에 도배되어있는 7FF6735F2B80을 눌러본다 Createpen과 DrawLine으로 좌표?와 길이 두께 같은걸 입력하면 선을 그려주는... 뭐 비슷한거 보신 분들은 뭔지 아실듯 아마 그런 함수인듯함 물론 이것들만 보면 저게 정확히 뭘하는지 모릅니다 그래서 우리는 알기 쉽고 보기 쉬운 동적분석을 합니다 맨위 부터 한개씩 실행하면서 경과를 관찰 한줄한줄 실행할때마다 선하나찍 요까지 7FF6735F2B80 함수들 다 실행하면 검은색 네..

1. 파일 유형 파악 분석할 때 의심스러운 바이너리의 파일 유형을 구분하는 것은 악성코드의 목표 운영 시스템(윈도우, 리눅스) 아키텍처(32비트 or 63비트)를 식별하는 데 도움이 된다. 예를들어서 의심스러운 바이너리가 윈도우 실행파일 (exe dll sys 등) 포맷인 PE 파일 유형이라면 윈도우 운영체재를 대상으로 디자인 됬다는 사실을 알 수 있음 근데 생각해보면 의심스러운 exe파일을 그냥 무턱대고 실행하는 사람들이 얼마나 있을까 그렇기때문에 공격자는 파일 확장자를 수정해 파일을 숨기거나 피해자가 실행하도록 속이고자 외형등을 바꾼다 그래서 파일 확장자로 파일 유형을 구분하기보다는 파일 시그니쳐를 통해 파일 유형을 구분할 수 있다 - 파일 시그니처는 파일 헤더에 작성되는 바이트의 독특한 배열순서다 ..

악성코드 - 악의적인 행위를 하는 코드 악성코드가 하는일 - 정보 훔치기 감시 스팸 디도스 등등 님이 아는거 악성코드 종류 1. 트로이목마, Trojan - 일반 프로그램으로 위장해서 설치 유도한 뒤 몰래 데이터를 훔치거나 공격자 서버에 전송, 모니터링등의 나쁜짓함 2. 백도어/원격 접속 트로이목마, RAT, Remote Acess Trojan - 원격으로 피해자의 컴퓨터를 원격 접속하거나 명령어를 실행가능하게하는 트로이 목마의 한 종류 3. 에드웨어, Adware - 원치않는 광고를 노출하는 악성코드, 일반적으로 무료다운로드를 통해 배포된다, 강제로 설치되게함 4. 봇넷, Botnet - 동일한 악성코드에 감염된 컴퓨터 그룹으로 공격자가 자기 서버에서 명령을 내림, 디도스나 스팸메일 등의 공격에 사용 ..

이번엔 링크를 바로주는게 아니라 ssh 명령어를 하나 던져준다 비밀번호는 jerseyctf2023! 칼리리눅스 ON 비밀번호까지 쳐주면 접속된다 이것저것 쳐본다 비밀번호찾는 뭐 그런게 아닌거같아서 mysql에 접속해본다 참고로 비번은 아까 그거랑 똑같다 이거 몰라가지고 뻘짓거리 존나했다 ㅅㅂ OK 공부안하면 이렇게된다 4트만에 성공 website 데이터베이스가 매우 수상해보인다 use website로 db갈아탄뒤 테이블구조를 살펴본다 login 테이블과 그 안에는 userID password 컬럼이있다 id목록 숫자만 있다 처음에 오류인줄 비번들이 줠라게 많다 password중에 수상한것을 발견했다 아까 본 파일들중에 index.php가 있는데 접속할때 준 ip로 접속하면 로그인창이 그대로나온다 저 Sp..