몇일전에 안랩 보안 콘테스트를 소개해 드렸는데, 혹시 이번 안랩코어나 웨이브 행사에 오시는 분 계신가요? 작년에 코어에서 발표를 했었는데, 올해는 웨이브 오프라인 행사에서 네트워크 문제풀이를 진행합니다.
시간은 13:40 - 14:20 이고요, 네트워크 문제 3 개를 시연을 통해 소개해 드리고자 합니다. 2개 문제는 재미있는 요소들을 넣어서 만들어 진 것이고요, 나머지 1개는 해킹사고 때 많이 이용되는 기법을 담았습니다. 문제 설명이 끝나고서도 별도의 테이블을 마련하여 문제에 대해 논의하거나 또는 자유롭게 이야기 할 수 있는 공간도 있을 예정입니다. 오시면 놀러오세요 :-)
일시 : 2012년 9월 20일(목) 12:00 - 17:50
장소 : 코엑스 인터컨티넨탈 호텔 다이아몬드홀 (B1F)
12:00 ~ 13:00 Registration & Networking
13:00 ~ 13:30 Opening Keynote '안랩의 보안전문가 양성 마스터 플랜' – 김홍선 대표이사
13:30 ~ 13:40 온라인 콘테스트 진행결과 보고 – ASEC이호웅 센터장
13:40 ~ 14:20 Network 문제풀이
14:20 ~ 14:40 Break time
14:40 ~ 15:20 Digital Forensics 문제 풀이
15:20 ~ 16:00 Vulnerability 문제 풀이
16:00 ~ 16:20 Break time
16:20 ~ 17:00 Mobile 문제 풀이
17:00 ~ 17:40 Binary 문제 풀이
17:40 ~17:50 Closing
행사 홈페이지 : http://wave.ahnlabcore.co.kr/tutorial.php
2012년 9월 18일 화요일
2012년 9월 12일 수요일
Wireshark 를 이용해 손쉽게 패킷 파일 합치기
일전에 mergecap 을 통해 패킷파일을 합치는 방법에 대해서 포스팅을 하였다.
[참고] 여러개의 패킷파일 하나로 합치기 (using mergecap)
이외에 와이어샤크 GUI 화면을 통해서도 쉽게 패킷파일을 합칠수 가 있다. 메뉴에서 File -> Merge 를 선택하면 아래와 같은 화면이 나타난다. 기존 선택한 패킷파일 외 다른 Merge 할 패킷 파일을 선택하는 것이다.
선택할 옵션이 3가지 나타나는데 Prepend 는 패킷파일의 앞쪽에 Chronologically 는 시간 순서대 별로 Append 는 뒤쪽에 패킷파일을 이어 붙인다. Merge 전 패킷파일은 이미 저장되어 있는 상태여야 하고 위 옵션을 통해 쉽게 통합할 수 있다.
좀더 GUI 를 효과적으로 이용할 수 있는 방법은 마우스를 이용해 파일을 Drag&Drop 하는 것이다. 한개의 패킷파일을 선택하여 사용하는 경우 해당 파일이 대체되어 오픈되지만, 여러개의 패킷파일을 동시에 Drag&Drop 하는 경우 Merge 를 하려고 시도할 것이다.
명령어를 이용하는 것 보다는 GUI 의 장점을 이용할 수 있는 방법으로, 좀더 편하게 사용이 가능하다.
[참고] 여러개의 패킷파일 하나로 합치기 (using mergecap)
이외에 와이어샤크 GUI 화면을 통해서도 쉽게 패킷파일을 합칠수 가 있다. 메뉴에서 File -> Merge 를 선택하면 아래와 같은 화면이 나타난다. 기존 선택한 패킷파일 외 다른 Merge 할 패킷 파일을 선택하는 것이다.
선택할 옵션이 3가지 나타나는데 Prepend 는 패킷파일의 앞쪽에 Chronologically 는 시간 순서대 별로 Append 는 뒤쪽에 패킷파일을 이어 붙인다. Merge 전 패킷파일은 이미 저장되어 있는 상태여야 하고 위 옵션을 통해 쉽게 통합할 수 있다.
좀더 GUI 를 효과적으로 이용할 수 있는 방법은 마우스를 이용해 파일을 Drag&Drop 하는 것이다. 한개의 패킷파일을 선택하여 사용하는 경우 해당 파일이 대체되어 오픈되지만, 여러개의 패킷파일을 동시에 Drag&Drop 하는 경우 Merge 를 하려고 시도할 것이다.
명령어를 이용하는 것 보다는 GUI 의 장점을 이용할 수 있는 방법으로, 좀더 편하게 사용이 가능하다.
2012년 9월 5일 수요일
패킷파일 로우데이터 문자열/HEX 값 한번에 변경하기!
패킷파일을 조작해야 하는 경우 다양한 방법이 있다. 그런데 문자열과 같은 일부 데이터를 쉽고 빠르게 변경하는 방법은 없을까? 여러분의 시스템에 펄(Perl)이 설치되어 있다면 명령어 한줄로도 가볍게 내용을 변경할 수 있다.
1. 패킷파일의 문자열을 한번에 바꿀 수 있다.
바이너리 패킷 파일을 strings 로 살펴보면 문자열을 볼 수 있는데, 거기서 나오는 문자열을 임의로 변경할 수 있다. 즉, 패킷 데이터의 문자열을 바꿀 수 있는 것이다.
# strings test.pcap | grep TEST
TEST
TEST
TEST
TEST
자 그럼 다음과 같이 하여 변경을 할 수 있다.
# perl -pi -e 's/TEST/HTTP/g'
펄에서 TEST 라는 문자열을 검색하여 HTTP 로 변경을 하는데, 파일 수정까지 같이 해준다. 수정까지 바로 해준다는 점이 중요하다.
2. 문자열 뿐만 아니라 HEX 값도 한번에 변경해 보자.
문자열은 바꿀 수 있는데 HEX 값은 바꿀 수 없을까 ? 물론 바꿀 수 있다. \x 를 이용하면 간단히 해결된다. 패킷파일에서 변경하고자 하는 HEX 값은 다음과 같이 할 수 있다.
# perl -pi -e 's/\x00\x0c\x29\xb5/\x90\x90\x90\x90/g' merge.pcap
예를 들어, MAC 주소를 변경한다고 했을때 해당 값을 찾아 변경이 가능하다. 물론, 블로그에서 소개한 bittwiste 와 같은 도구를 이용해서도 말이다. 맥 주소뿐만 아니라 원하는 모든 것은 변경이 가능하다. 하지만 주의할 점이 있다. bittwiste 는 IP 등을 변경했을때 Checksum 값이 틀려지므로 보정을 해 주게 된다. 하지만 이와 같이 수동으로 직접 패킷파일을 조작하는 경우 Checksum 또한 본인이 스스로 해야 한다.
그러므로 상황에 따라 적절하게 사용하여야 한다. 직접적으로 고치는 경우가 때로는 유용하게 사용될 때가 있다. Payload 와 같이 특별히 Checksum 값 보정이 필요하지 않지만, 임의로 데이터를 바꿔야 하는데 그 변경할 내용이 아주 많다면 이런 방법이 유용해진다.
1. 패킷파일의 문자열을 한번에 바꿀 수 있다.
바이너리 패킷 파일을 strings 로 살펴보면 문자열을 볼 수 있는데, 거기서 나오는 문자열을 임의로 변경할 수 있다. 즉, 패킷 데이터의 문자열을 바꿀 수 있는 것이다.
# strings test.pcap | grep TEST
TEST
TEST
TEST
TEST
자 그럼 다음과 같이 하여 변경을 할 수 있다.
# perl -pi -e 's/TEST/HTTP/g'
펄에서 TEST 라는 문자열을 검색하여 HTTP 로 변경을 하는데, 파일 수정까지 같이 해준다. 수정까지 바로 해준다는 점이 중요하다.
2. 문자열 뿐만 아니라 HEX 값도 한번에 변경해 보자.
문자열은 바꿀 수 있는데 HEX 값은 바꿀 수 없을까 ? 물론 바꿀 수 있다. \x 를 이용하면 간단히 해결된다. 패킷파일에서 변경하고자 하는 HEX 값은 다음과 같이 할 수 있다.
# perl -pi -e 's/\x00\x0c\x29\xb5/\x90\x90\x90\x90/g' merge.pcap
예를 들어, MAC 주소를 변경한다고 했을때 해당 값을 찾아 변경이 가능하다. 물론, 블로그에서 소개한 bittwiste 와 같은 도구를 이용해서도 말이다. 맥 주소뿐만 아니라 원하는 모든 것은 변경이 가능하다. 하지만 주의할 점이 있다. bittwiste 는 IP 등을 변경했을때 Checksum 값이 틀려지므로 보정을 해 주게 된다. 하지만 이와 같이 수동으로 직접 패킷파일을 조작하는 경우 Checksum 또한 본인이 스스로 해야 한다.
그러므로 상황에 따라 적절하게 사용하여야 한다. 직접적으로 고치는 경우가 때로는 유용하게 사용될 때가 있다. Payload 와 같이 특별히 Checksum 값 보정이 필요하지 않지만, 임의로 데이터를 바꿔야 하는데 그 변경할 내용이 아주 많다면 이런 방법이 유용해진다.
2012년 9월 4일 화요일
보안 콘테스트 참가 어떠세요? 안랩 시큐리티 웨이브 2012

IT 보안에 관심있는 분은 누구나 참여 가능하며 일정 레벨에 도달하시면 보안인증서와 소정의 기념품을 드립니다.
http://wave.ahnlabcore.co.kr/main.php (WAVE 2012 구경가기)
네트워크 관련한 문제도 있으니 관심있으신 분은 신청해 보세요.
9월20일(목) 오프라인 행사가 있을 예정이며 이때 문제풀이등이 있습니다.
그때 참가하시면 행사장에서 저를 보실 수도 있겠네요 ^^
차 라도 한잔 하시죠. :-)
/Rigel
P.S 웨이브 문제 설명 오프라인 행사는 이번 금요일 대회가 열리는 시점에 등록 가능하다고 하니, 참가하실 분들은 잊지 마세요! 선착순 350 명 무료입니다.~
피드 구독하기:
글 (Atom)