본문 바로가기
반응형

전체 글499

HTTP DESYNC ATTACK (REQUEST SMUGGLING) 오늘 Microsoft에서 Microsoft Security Advisory 메일에 흥미로운 내용이 있어 웹에 찾아보니 Http Desync Attack (request smuggling) 공격에 대한 방어 방법에 대한 내용이였다. 어떤 공격일까 라는 생각에 확인해보니 매우 신선한 방식의 공격 기법으로 원문 링크와 주요 내용들을 정리해보았습니다. Explain 공격 방식은 Smuggling(밀수) 단어엣 알 수 있듯이 웹서버 요청에 몰래 데이터를 넣는 공격 이라고 할 수 있습니다. 이렇게 몰래 넣은 데이터는 다른 사용자의 요청에 포함되어 전달되어집니다. CL(Content-Length), TE( Transfer-Encoding)을 Header를 활용한 공격으로 아래와 같은 취약점으로 공격/테스트 가 가능.. 2020. 10. 6.
C# - EXE에 모든 Dll, 리소스 포함하여 빌드하기 https://www.youtube.com/watch?v=lf2P0hkuNYY C# 프로그램을 개발한다면, 누구나 느끼는 Nuget에서 받은 DLL과 리소스들을 합쳐서 깔끔하게 배포하고 싶은 욕구가 있을 것이다. 아래에는 저자가 기존부터 경험했던 리소스를 EXE에 포함하여 배포하는 방법 3가지를 공유해보도록 하겠다. 1. 리소스에서 파일 생성하기 예전에는 DLL과, 리소스 파일들을 포함하기 위해서는 리소스 파일을 만들어서 실행 하는 시점에 해당 파일이 있는지 확인하고, 로드하는 방식을 사용하였다. 아래는 저자가 특정 파일을 리소스에 포함했다가 프로그램 실행시점에 해당 파일이 있는지 확인하여 리소스에서 파일 쓰는 방식이다. 이 방식은 Update.exe와 같은 추가 기능을 EXE 파일에 넣었다가 필요시 리.. 2020. 10. 3.
Robocopy - copy everything another drive 윈도우에서 제공하는 기본 복사 명령인 robocopy는 막강한 기능을 갖춘 복사 도구이다. 다음과 같은 상황에서 많이 이용된다. - 추가로 생성된 파일에 대한 복사 - 동일한 보안 권한을 유지하면서 복사 - 잠긴 파일 복사(쉐도우 카피 이용) 여기에서는 드라이브 전체를 다른 드라이브로 복사하는데, 소스의 권한을 유지하면서 복사하는 방법을 공유해 보겠다. 기본적으로 윈도우에서 드라이브를 넘어가는 경우 속성, 권한은 초기화 되기 때문에 간혹 파일 속성과 권한을 그대로 유지해야 하는 경우 유용하게 사용할 수 있다. 또 하나의 장점은 robocopy의 경우 대상 폴더에 동일한 파일이 있는 경우 Overwrite 옵션을 주지 않는 다면, 기본적으로 무시하도록 구성된다.(Overwrite 옵션 - /si(대상 폴더.. 2020. 9. 30.
Microsoft defender MPCmdRun.exe can download malware Microsoft Defender를 이용한 멜웨어 다운로드가 가능하다는 기사가 나왔다. https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-can-ironically-be-used-to-download-malware/ 바로 MPCmdRun.exe에서 제공하는 -DownloadFile 옵션을 이용하는 것이다. LOLBAS프로젝트에도 관련 공격방식이 업데이트 되어있다. https://github.com/LOLBAS-Project/LOLBAS/blob/master/yml/OSBinaries/MpCmdRun.yml LOLBAS-Project/LOLBAS Living Off The Land Binaries And Scripts - (LOLBins.. 2020. 9. 28.
C# - Better Windows Event Log Conversion to JSON 윈도우 이벤트를 프로그램으로 가져온 경험이 있다면 데이터로 처리하기 어렵다는 점을 많이 느낄것이다. 이글에서는 왜 윈도우 이벤트를 쉽게 가져오기가 힘든지와, 어떻게 하면 최선의 방법으로 이벤트 로그를 JSON으로 가공할 수 있는지에 대해 얘기해보도록 하겠다. 먼저 윈도우 이벤트는 다중언어를 지원하기 위해 XML로 구성되어 있다는 것을 이해할 필요가 있다. 즉 이벤트들은 다중언어(일본어, 한국어, 중국어)별로 동일한 이벤트에 대한 표시 언어를 XML로 만들어 두고, 이에 대한 값, Value만을 저장하는 방식이다. 이벤트 템플릿은은 아래 파워셀 명령을 통해 쉽게 확인 할 수 있다. Widows Event ID Offer Multiple Lang, So they make Lang template like a.. 2020. 9. 28.
OneDrive - Error 'Already install higher version' If you do not remove it normally, there may be an error that the version is already installed. At this time, download the OneDriveSetup.exe program and enter it in the command line as follows. OneDriveSetup.exe /uninstall If the UAC screen appears and there are no unusual messages, it can be said that it has been deleted normally. You can install it again through OneDriveSetup.exe And you can us.. 2020. 9. 28.
The underlying connection was closed – REST API call over HTTPS The underlying connection was closed – REST API call over HTTPS The underlying connection was closed - C# 오류 해결 {System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. ---> System.Net.Sockets.SocketException:.. 2020. 9. 25.
NDS EMUL – DRASTIC 2.4.0.1A CRACK Android drastic No error version. In version 2.5 and later, you will need to do the rooting, but this version can be installed and used without rooting. There is no difference in performance from the latest version, so there is no problem using it. 2020. 9. 25.
LOLBAS 란 - Living off the Land Binaries and Scripts LOLBAS 프로젝트는 사이버 공격에 중 Living Off The Land 기술(Dropper 가 필요 없는)에 사용되는 모든 바이너리, 스크립트 및 라이브러리를 문서화하는 것이다. Dropper는 사이버 공격에서 대상을 침해 시키기 위해 악의적인 행위를 하는 멜웨어를 다운로드 하는 프로그램으로 LOL은 Drroper 역활을 윈도우/리눅스 자체에서 제공하는 정상 바이너리, 스크립트 및 라이브러리 사용하는 특징이 있다. https://lolbas-project.github.io (Linux: https://gtfobins.github.io/) 에서 잘 정리되어 있으며, 어떻게 사용되는지 내용을 확인 할 수 있다. 세부적으로, LOLBin, LOLScript, LOLLib으로 분류하여 관리하고 있다. 2020. 9. 21.
반응형