분류 전체보기
-
-
[HackCTF] BabyMIPSWargame/study 2022. 2. 22. 20:54
1. Description babymips라는 파일이 하나 주어진다. ubuntu에서 file 명령어를 통해 살펴보면 다음과 같다. 32-bit MIPS 아키텍처에서 실행되는 프로그램임을 알 수 있다. MIPS는 학교에서 컴퓨터 아키텍처 과목을 수강할 때 pipelining 등을 설명하기 위해 예시로 항상 나오던 cpu 아키텍처였는데, 실제로는 처음 보는 것 같다. 현재 실행 중인 pc는 x86-64 기반의 cpu이므로 동적 분석을 하기 위해서는 qemu 같은 도구를 이용해야 할 것 같다. 2. Analysis 우선 동적분석을 하기에 앞서 ida로 babymips 파일을 열어보았다. int __cdecl main(int argc, const char **argv, const char **envp) { i..
-
[SCTF 2021] secure_enoughWargame/study 2022. 1. 26. 22:29
1. Description "I made secure communication algorithm. No one can see my message."라는 문구와 함께 out.pcap 파일, my_client 바이너리 파일이 주어진다. out.pcap 파일은 서버와 통신하면서 오고 가는 패킷 정보를 보여주며, my_client 파일은 서버와 소켓 통신을 하는 클라이언트의 바이너리 파일인 듯하다. 해당 문제는 reversing, binary 태그가 달려있었다. 2. Analysis my_client 파일을 ida로 열어서 분석을 진행하면서 out.pcap 파일을 번갈아 보는 방식으로 분석을 진행했다. 먼저 my_client 파일의 main 함수는 아래와 같다. 인자 검사를 한 후, 몇 가지 함수를 호출하고 프..
-
-
[reversing.kr] PEPasswordWargame/study 2022. 1. 4. 02:02
1. Description 파일을 다운로드하면 다음과 같이 두 개의 .exe 파일을 확인할 수 있다. 각 파일을 실행해 보자. 1) Original.exe 위와 같이 "Password is ????????????" 문자열을 포함하는 메시지 박스가 출력되고 종료된다. 2) Packed.exe 대화 상자가 나타나고 문자를 입력할 수 있다. 따로 확인 버튼은 없다. 2. Analysis 1) Original.exe 먼저 Original.exe 파일을 분석해보겠다. Exeinfo PE로 패킹 유무를 검사해보았다. 따로 패킹은 되어 있지 않다. 이어서 ida로 파일을 열어보았다. 스택에 선언된 변수들에 대하여 do-while 반복문으로 xor 연산을 진행하고 메시지 박스를 호출한다. 메시지 박스 호출 부분에 bp..
-
[SCTF 2021] memoryWargame/study 2021. 12. 30. 18:34
2021년 8월에 시행된 SCTF memory 문제다. https://research.samsung.com/sstf 에서 문제를 다운로드할 수 있으며, pwnable과 binary 태그가 붙어있었다. 서버에서 작동하는 prob 바이너리 파일만 주어진다. 1. Description 서버에 접속하게 되면 아래와 같이 메뉴 목록이 출력되고, 메뉴를 입력받을 수 있다. 각각의 메뉴를 실행시켜보면 다음과 같다. 1) 1.write 내용물을 입력받고 메뉴가 종료된다. 2) 2. view 날짜를 입력받고 그에 대응되는 내용물을 출력하는 기능인 것 같다. 3) 3. all view 모든 날짜에 대한 내용물을 출력하는 기능으로 보인다. 4) 4. backup data 현재 있는 내용물들에 대해 백업을 진행하고 결과물을 ..
-
BoB 10기 취약점 분석 트랙 합격이것저것 2021. 7. 2. 00:36
BoB 10기 취약점 분석 트랙에 최종 합격했다. 사실 작년 9기에도 취약점 분석 트랙을 지원했는데 서류과정에서 떨어졌다. 그 뒤로 꾸준히 공부하고 준비해 온 보람이 있는 것 같다. 이번 10기 과정을 지원하면서 취약점분석 트랙을 선택할지, 보안제품 개발 트랙을 선택할지 굉장히 많은 고민을 했다. 취약점 분석 쪽은 예전부터 해보고 싶었는데 왠지 나의 능력이 모자라 불합격할 것 같고, 보안제품개발 쪽은 그나마 더 잘할 수 있을 것 같지만 취약점 분석 쪽 보다는 관심이 떨어졌다. 능력보다 흥미를 선택하기로 했고 결과가 좋아서 다행이다. 삼성 장기 현장실습을 마치고 블로그를 다시 활발히 운영하려고 했는데 BoB 과정이 끝날 때 까지는 또 뜸해질 것 같다...
-
삼성전자 DS부문 장기현장실습 후기이것저것 2021. 7. 2. 00:24
2021.03.02 ~ 2021.06.18 총 16주 동안 삼성전자 DS부문의 S.LSI 사업부에서 장기 현장실습을 진행했다. - 선발 과정 선발과정은 반기마다 사전에 삼성전자 DS와 협의된 몇몇 학교에 공고가 올라오면 서류 접수를 한 후, 서류 과정을 통과한 인원들에 대해 면접을 진행한다. 각 사업부마다 어떤 일을 하는지 간단히 알려주는 자료가 있었는데 S.LSI 사업부에서 보안 solution 개발 업무를 하는 실습을 해볼 수 있다고 해서 지원하게 되었다. 여태껏 작성한 블로그 포트폴리오와 보안에 관심이 많다는 점을 면접 때 잘 어필했더니 합격할 수 있었던 것 같다. - 일정 S직군(S/W개발 업무) 같은 경우 이번 과정에서는 작년 하반기 장기 현장실습과는 다르게 16주가 2주(코로나로 인한 재택근무..