보안 공부

우분투에서는 패키지 설치를 위해서 보편적으로 APT (Advance Packging Tools)명령어를 사용한다.

apt는 기존의 apt-get, apt-cache 등의 통합으로 나온 패키지 매니징 둘이다.

패키지 업데이트를 위한 update와 upgrade 차이점이 존재한다.

• update - 설치 가능한 패키지 리스트를 최신화
• upgrade - 실제 업데이트

sudo apt update

위 구문은 설치 가능한 패키지 리스트를 최신화 하는 명령어고,

실제로 프로그램이 최신 버전으로 설치되거나 바뀌지는 않는다.

→ 말그대로 리스트만 최신화 시켜주는 것

sudo apt list

위 구문은 현재 리스트를 불러오는 명령어

sudo apt list —upgradable

현재 설치된 리스트 중에서 업그레이드가 필요한 목록을 알아올 수 있는 명령어

sudo apt upgrade

설치가 필요한 리스트를 확인했다면 upgrade 명령어를 통해 실제 업데이트가 가능

이번 블로그는 Buckeye CTF Write up 문제 풀이를 할 것이다.

변명을 하자면, 추석 연휴 겸사 생일이 겹치면서 끝나기 몇 시간 전에 들어가서 문제를 풀기 시작해서

Crypto 한 문제만 풀기도 했고 PWN 분야는 이미 나보다 잘하는 내 팀원이 풀어버렸다.  

우선 나는 Rivest-Shamir-Adleman 문제를 풀었다.

문제 설명에는 " Bing numbers make big security " 라는 문장이 쓰여져 있었다.

근데 제목에는   Rivest-Shamir-Adleman  = RSA를  뜻한다.

RSA?

밑에는 문제 코드이다.

message = b"[REDACTED]"

m = int.from_bytes(message, "big")

p = 3782335750369249076873452958462875461053
q = 9038904185905897571450655864282572131579
e = 65537

n = p * q
et = (p - 1) * (q - 1)
d = pow(e, -1, et)

c = pow(m, e, n)

print(f"e = {e}")
print(f"n = {n}")
print(f"c = {c}")


# OUTPUT:
# e = 65537
# n = 34188170446514129546929337540073894418598952490293570690399076531159358605892687
# c = 414434392594516328988574008345806048885100152020577370739169085961419826266692

암호화된 메시지를 해독하려면 개인 키 (d, n)를 사용하여 RSA 복호화 알고리즘을 적용해야 한다.

하지만, 위 코드에서는 개인 키 (d, n)과 c 포함한 복호화에 필요한 정보들을 다 줬기 때문에, 복호화 코드를 짤 수 있었다.

복호화 코드는 따로 올리지는 않겠다.

최종적으로 코드를 짜면 밑에와 같이 bctf { } 가 나온다. 

안녕하세요!

오늘은 MySQL Database 생성과 삭제를 알려드리도록 하겠습니다. 

1. 데이터베이스 생성

create database (DB 이름); 

데이터베이스 만들기 위해 Create 명령어를 사용합니다.

show databases; 

명령어를 사용하면 만들어진 데이터베이스를 확인 할 수 있습니다. 

create database 명령어 주석 처리를 안 했는데 실행 시킬 때 해주는게 좋습니다..

이제 마지막으로 삭제를 해보겠습니다.

삭제 명령어에는  delete 와 drop이 있지만, 오늘 사용할 명령어는 drop 명령어 입니다.

drop (DB이름) ; 

명령어를 사용합니다. 

사용 후

show databases;

해준다면 완벽히 사라진 것을 확인 할 수 있습니다!

오늘은 MySQL  본격적인 실습을 하기 전에  MySQL 버전과 시스템 날짜시간 정보를 확인하는 명령어를 알아볼 것이다.

select version();

MySQL 버전을 표시할 때 쓰이는 명령어이다.

select는 테이블로부터 데이터를 검색하기 위해서 쓰이는 명령어다.

만약 했는데 저런 식으로 안 뜬다면 영어 단어 철자 확인과

이 표시들이 뜨는지 제대로 확인을 해봐야 한다.

select current_date(), current_time(), now();

명령어를 사용하면  현재 날짜와 시간들을 표시해줍니다.

정리를 한다면 밑에 순서대로

current_date = 현재 날짜

current_time = 현재 시간

now = 현재 날짜와 시간이다.

오늘은  MySQL Workbench 8.0  다운로드를 해 보겠습니다.

[MySQL] Windows MySQL Community Download

위에 있는 글을 먼저 한 후에 하시는 걸 추천드립니다!

1. 다운로드 링크 

https://dev.mysql.com/downloads/file/?id=519997 

바로 가기 링크를 통해서 다운을 해주세요.

전 편과 같은 이미지 처럼 보여서 당황할 수 있지만 다른 페이지입니다. : )

저번과 동일하게 로그인 없이 다운로드만 하겠습니다.

사진 2 에 보신 것처럼 workbench가 다운로드가 된 것이 보입니다.

저걸 실행시키면 됩니다.

2. 설치 순서

[사진 3] 부터는 밑에 사진이 조금씩 잘린 관계로, 어떤 식으로 다운이 되는지 용도로만 보여드리겠습니다.

최종적으로 실행이 된 결과입니다.

이번 편에서는 MySQL Community만 다운로드하고 다음 블로그에서 MySQL Workbench 8.0 CE 

다운로드하는 글을 업로드를 할 예정이다.  

MySQL 로고에 돌고래가 있는 이유가 궁금하다면 밑에 클릭!

1. 환경 확인 

MySQL Community 8.0을 설치 시 윈도우즈 Windows가 설치가 되어있어야 한다.

윈도우즈 운영 체제는 64bit Windows 10(또는 11)이 설치가 되어있어야 한다.

[검색창] - [시스템]

밑 아이콘에 들어가기만 하면 된다.

윈도우즈 사양을 확인하고 MySQL 설치를 시작하면 된다. 

2. MySQL Community Download 

밑에 나와있는 링크를 들어가면 MySQL Community Downloads로 바로 들어갈 수 있다.

MySQL :: Download MySQL Installer

[사진 4]  빨간 박스 칸 친 곳을 다운로드를 하면 된다. 

Download를 누르면 [사진 5]처럼 나온다.

이때  No Thanks 부분 빨간 박스 칸 친 곳을 누르면 된다.

다운로드가 다 되었다면 실행을 한다면 [사진 6]처럼 나온다.

맨 위  Server only  를 눌러 Next 해줍니다.

[Server only] - [Next]

Execute 눌러준다

다 된 후에는 Next를 눌러서 진행을 시켜준다.

이 화면이 나오면 Next 눌러주면 된다.

Port 번호 3306를 확인하고

Show Advanced and Logging Options 체크 표시를 눌러준다.

사진은 체크표시 누르기 전에 캡쳐했다.

맨 위에 체크를 해주고 [Next]  눌러준다.

비밀번호는 자유롭게 설정을 해주면 된다.  (0000 가능)

지금 설정하는 비밀번호는 root 비밀번호다.

만약 잊으면 다시 설정을 해주면 되는데 이거에 대한 내용은

 MySQL Workbench 가 업로드 된 후 올려질 내용이다. 

Standard System Account로 설정을 해준 뒤 Next를 눌러준다. 

Execute 눌러주고 나고 기다리면 된다.

이런식으로  한다면  MySQL Community 설치가 완료가 된다.  

참고

https://shinysblog.tistory.com/20

https://hongong.hanbit.co.kr/mysql-%EB%8B%A4%EC%9A%B4%EB%A1%9C%EB%93%9C-%EB%B0%8F-%EC%84%A4%EC%B9%98%ED%95%98%EA%B8%B0mysql-community-8-0/

https://mindorizip.tistory.com/99

2023년 나한테 새로운 경력이 쌓인 것들 중 제일 큰 경력은 역시 YISF 문제 출제진 경력이 쌓인 것이다. 

YISF은 크게 3가지 일정으로 나눠진다. 

각 일정들을 해나가면서 느낀점이나, 후기를 적어볼까 한다.  

예선 [2023.08.11 ~ 08.13]

서버 세팅과 문제들의 준비를 끝냈다.

그다음  공대에서 모여서 밤샘을 준비를 하면서, 대회 막바지 준비를 했다. 

대회를 시작하고 몇 시간은 문제 flag 문제 설정과, 티켓으로 질문을 받느라 바빴다.

우선 내가 문제를 냈던 MISC [Sherlock]은 티켓으로 질문하도록 만든 미끼로 만든 문제였다.

생각보다 많이 질문을 해줘서 기가 없어진 거 같기도..

문제 질문을 다 받은 다음에는 운영진들끼리 게임을 하면서 보냈다.

다양한 게임을 하면서 시간을 보내기도 하고, 밤샘을 하면서 꽤나 즐거웠다. 

하지만 고비는 그다음 날이었다.

2박 3일 일정 중 이틀 차에는 거의 잠만 잤던 게 기억이 났다. (오전 7시부터 오후 2시까지 꿀잠,,,)

그리고 2일 밤부터 3일차 되는 아침까지  겨울왕국 영화를 봤다.

겨울왕국 1과 2를 둘 다 봤는데 인스타 스토리에 올렸는데 사진을 따로 못 가져왔다.

영화와 간식을 먹으면서 겨우 졸음을 이기고 오전 9시에 정상적으로 대회가 종료가 되었다.

그리고 집가서는 기절..

본선 [2023.08. 21]

본선은 단 하루만 진행이 된다. (기억상으로 10시부터 6시인데 5분인가 정도 더 늦어졌다. )

9시까지 다시 학교에 갔다. 스터디가 끝나고 갈려고 하니깐 아침에 일어나기가 너무 힘들었다.

그리고 참가자와 운영진들과 함께 사진을 찍고 내 다른 일을 했던 것 같다. (사진은 다양하게 찍었지만 한 장만 올려야지~)

점심이랑 간식도 야무지게 먹고 나서는 대회장에 가서 운영진으로서 할 일도 했다.

모든 게 끝나고 집을 가는데,  분명 당일치기지만 너무너무 졸려워서 혼났다.

YISF 시상식&보안캠프 [2023.09.14]

9월 14일 날에는 시상식과 보안 캠프를 했다.

시상식에서는 운영진들과 수상자들은 사진을 찍는다고 했다.

그전에 다양한 축사를 듣고, 한 명 한 명 수상자들을 박수치면서 상을 수상한 거에 대해서 축하했던 것 같다.

사진을 찍은 다음에 점심을 먹었다.  (냠냠 굿!)

식사 후에는 보안 캠프가서 멋진 분들의 발표를 듣다가 수업 들으러 가야 해서 나갔다.

보안 대회를 운영하면서 느꼈지만 세상에 대단한 사람들이 너무 많다.

그래서 짱짱 멋있다! 

제일 먼저 JAVA Eclipse를 설치하기 위해서 확인을 해야하는 내용이 있다. 

cmd창을 열고 명령어를 친 후 java가 있는지 없는지 확인을 한다.

java -version 

명령어를 쳤을 때 [사진 1] 처럼 나와있다면 제대로 있는 것이고, 없다면 JDK 부터 설치를 해야한다.

1. JDK 설치

먼저 밑에 있는 웹사이트로 들어가야 한다. 

Oracle 사이트  https://www.oracle.com/java/technologies/downloads/

[Windows] - [x64 Installer]  클릭하고, 옆에 다운로드 링크를 누르면 된다. 

설치가 완료가 된다면  파일 안에 밑에와 같은 사진이 있다. 

저 파일을 누르면 밑에와 같은 사진이 뜨고  Next를 누르면 된다. 

중간에 경로지정을 변경을 하는게 있는데 나는 안 했다.

설치 후에는 환경변수를 설정해야 한다. . .  (끝난게 아님)

1-2 환경 변수

[고급 시스템 설정보기] - [환경변수]

[시스템 변수] - [새로 만들기] 순서로 누르면 된다. 

적으면 된다.

보통 설치된 파일 경로 그대로 있기 때문에 복사 붙여넣기를 하면 된다.

그 다음 [시스템 변수] - [Path] 순서로 편집를 누르면 된다.

그럼 환경 변수 편집창이 뜬다. 

입력은 밑에와 같이 해주면 된다.

%JAVA_HOME%\bin

모든 설정이 끝나면 확인을 누르고 다시 cmd 창에서 java -vserion 명령어를 눌러 확인하면 된다. 

2. JAVA 설치 

이클립스 사이트 : https://www.eclipse.org/downloads/

Q.  문제점 노란색 Download x86_64 박스를 다운 받으면 설치가 되면서 실행이 될 줄 알았지만, 안 되었다. 

어떤식으로 설치를 했을까?

A. 빨간색으로 네모 친 다운로드 패키지를 누른 후 안에 다양한 기능을  있는 것을 확인 했다.

나는 웹 개발에도 관심이 있어서 겸사 참고한 블로그가 이 패키지를 다운 받길래 나도 따라서 다운을 받았다. 

인내의 시간을 보내고 난 뒤에 설치가 되었다. 

파일을 열어서 exe 실행 파일을 실행시키면 된다.

누르고 난 후 경로 지정 창이 뜨는데 본인이 편한대로 설정 하면 된다. 

정상적으로 실행이 된 모습이다. 

출처

https://danmilife.tistory.com/6

https://languagestory.tistory.com/11

프로그래밍 언어

• 프로그램 작성 언어
• 기계어
  • 0, 1의 이진수로 구성된 언어
  • 컴퓨터의 CPU는 기계어만 이해하고 처리 가능
• 어셈블리어
  • 기계어를 명령을 ADD,SUB,MOVE 등과 같은 표현하기 쉬운 상징적인 단어인 니모닉 기호로 일대일 대응시킨 언어
• 고급언어
  • 사람이 이해하기 쉽고, 복잡한 작업, 자료구조, 알고리즘을 표현하기 위해 고안된 언어
  • Pascal, Basic, C/C++, JAVA, C#
  • 절차 지향 언어와 객체 지향 언어

절차 지향 언어 VS 객체 지향 언어

절차 지향 언어

• 장점
  • 절차에 따른 순차적인 처리가 중시 되는 언어
  • 프로그램 전체가 유기적으로 연결되어 있음
  • 컴퓨터의 처리구조와 유사헤서 실행속도가 빠름
  • C언어
• 단점
  • 유지보수의 어려움
  • 엄격하게 순서가 정해져 있어 비효율적
  • 디버깅이 어려움

객체 지향 언어

실제 세계를 모델링하여 소프트웨어 개발 (캡슐화 상속 다형성 추상화)

• 장점
  • 코드의 재활용성이 높은
  • 코딩이 절차지향보다 간편함
  • 디버깅이 쉬움
• 단점
  • 느린 개발 속도
  • 느린 실행 속도
  • 높은 난이도

자바

• 1991년 그린 프로젝트
  • 선마이크로시스템즈의 제임스 고슬링에 의해 시작
  • 가전 제품에 들어갈 소프트웨어를 위해 개발
• 목적
  • 플랫폼 호환성 문제 해결
    • 기존 언어로 작성된 프로그램은 PC, 유닉스, 메인 프레임 등 플랫폼 간에 호환성 없음
    • 소스를 다시 컴파일하거나 프로그램을 재 작성해야 하는 단점
  • 플랫폼 독립적인 언어 개발
    • 모든 플랫폼에서 호환성을 갖는 프로그래밍 언어 필요함
    • 네트워크, 특히 웹에 최적화된 프로그래밍 언어의 필요성 대두
  • 메모리 사용량이 적고 다양한 플랫폼을 가지는 가전 제품에 적용
    • 가전 제품 : 작은 량의 메모리를 가지는 제어 장치
    • 내장형 시스템 요구 충족
  • 오크 (OAK) = 초기 이름
    • 인터넷과 웹의 엄청난 발전에 힘입어 퍼지게 됨
    • 웹 브라우저 Netscape에서 실행

WORA(Write Once Run Anywhere)

• 한번 작성된 코드는 모든 플랫폼에서 바로 실행
• C/C++ 기존 언어가 가진 플랫폼 종속성 극복
• 네트워크에 연결된 어느 클라이언트에서나 실행

WORA를 가능하게 하는 자바의 특징

• 바이트 코드 (byte code)
  • 자바 소스를 컴파일한 목적 코드
  • CPU에 종속적이지 않은 중립적인 코드
  • JVM에 의해 해석되고 실행 됨
• JVM(Java Virtual Machine)
  • 자바 바이트 코드를 실행하는 자바 가상 기계(소프트웨어)

TL;DR

• Too Long; Didn't Read.
• 글의 내용이 너무 길어 읽지 않았음을 표시할 때, 혹은 매우 긴 글에 대해 요약을 제공할 때 쓰인다.

Bluetooth Packet Sniffing

• 블루투스 통신을 모니터링하고 감청하는 기술 또는 절차를 말한다.
• 패킷 스니핑은 네트워크 트래픽을 감시하여 데이터 패킷의 내용을 분석하거나 기록하는 과정을 가리킨다.
• 블루투스 통신을 주변에서 수신하여 블루투스 기기 간에 교환 되는 데이터를 엿볼 수 있는 기술이다.
• 이를 통해 해커나 보안 전문가는 블루투스 기기 간의 통신 내용을 분석하고 취약점을 찾을 수 있다. 패킷 스니핑을 통해 블루투스 기기 간에 주고받는 정보, 비밀번호, 파일 등을 엿볼 수 있으며, 이를 통해 보안 문제가 발생할 수 있다.

Bluetooth Profile

• 가능한 응용 프로그램를 정의하며, 블루투스 장치가 다른 블루투스 장치와 통신하는데 사용하는 일반적인 특성을 규정한다.
• 통신 데이터의 종류를 나타내는 규격이다. – 오디오 데이터, 전화 통화 데이터, 전화번호부 등 – 서로 다른 제조사의 제품들에 대한 호환성 확보를 위함
• 장치가 연결되었을 때 어떻게 동작할지를 결정한다.
• 특정 프로파일에 데이터를 실어 보낼 수 있다.
• 블루투스 통신 주체들이 해당 프로파일에 대한 정보를 가지고 있고, 해석할 수 있어야 한다.

Bluetooth Profiled의 최소한 각각의 아래와 같은 내용을 포함한다.

• 다른 프로파일에 대한 종속성
• 제안된 유저 인터페이스 형식
• 프로파일에 의해 사용되느 블루투스 프로토콜 스택 (Bluetooth Protocol Stack) 부분
• 각 프로파일은 스택의 각 레이터 (Layer)에서 특정 옵션 및 매개 변수를 사용하며, 적절하다면, 필요한 서비스 레코드를 포함할 수 있다.
• 주요 Bluetooth Profiles
•  SPP (Serial Port Profile) – 시리얼 통신 프로파일 (RX, TX) 
• HID (Human Interface Device) – 사용자 입력장치 프로파일 (키보드, 마우스 등) 
• Hands-Free Profile (HFP) / Headset Profile (HSP) – 전화 통화를 하기 위한 프로파일 
• A2DP (Advanced Audio Distribution Profile) – 오디오 전송 프로파일 (SBC, MPEG-1, MPEG-2, AAC 등 지원)
•  AVRCP (Audio/Video Remote Control Profile) – 장치 무선 제어(리모컨) 프로파일 
• PBAP (Phone Book Access Profile) – 전화번호부 전송 프로파일 
• OPP (Object Push Profile) / OBEX (Object Exchange) / FTP – 기기간 Data Object 및 파일 전송 프로파일 
• PAN (Personal Area Networking Profile) – 인터넷 연결에 사용되는 프로파일

bluetooth attack

블루재킹(Bluejacking)

블루스패밍(Bluespamming)이라고도 하며, 스팸처럼 익명으로 블루투스 사용자에게 메시지를 보내는 기법이다. 귀찮은 존재긴 하지만 보안에 큰 위협을 가하지는 않는다.

블루스나핑(Bluesnarfing)

블루투스의 취약점을 이용하여 장비의 임의 파일에 접근하는 공격으로 모바일 기기에 저장된 일정표, 전화번호, 이메일, 문자메시지 등에 접근하는 방법이다.

블루버깅(Bluebugging)

블루투스 장비 간의 취약한 연결 관리를 악용한 공격으로 공격 장치와 공격 대상 장치를 연결하여 공격 대상 장치에서 임의의 동작을 실행하는 공격이다.

희생자의 휴대폰을 원격 조종해 통화내용을 엿듣는 해킹 방법으로 치명적인 피해를 야기할 수 있다. 이 기술을 이용하려면 타겟과 10m 이내에 있어야 가능하다.

블루프린팅(Blueprinting)

블루프린팅은 청사진 라고도 한다.

블루투스 공격 장치의 검색 활동을 의미한다.

블루투스는 장치 간 종류를 식별하기 위해 서비스 발견 프로토콜(SDP : Service Discovery Protocol)을 보내고 받는다.

공격자는 이를 이용해 공격이 가능한 블루투스 자치를 검색하고 모델을 확인할 수 있다.

bluetooth hacking tools

• Bluelog : 블루투스 사이트 조사 도구이다. 영역을 검색하여 해당 영역에서 검색 가능한 장치를 최대한 많이 찾은 다음 이를 파일에 기록한다.
• Bluemaho : Bluetooth 장치의 보안을 테스트하기 위한 GUI 기반 도구 모음이다.
• Blueranger : i2cap 핑을 사용하여 Bluetooth 장치를 찾고 대략적인 거리를 결정하는 간단한 Python 스크립트이다.
• Btscanner : 이 GUI 기반 도구는 범위 내에서 검색 가능한 장치를 검색한다.
• Redfang : 이 도구를 사용하면 숨겨진 Bluetooth 장치를 찾을 수 있다.
• Spooftooph : 블루투스 스푸핑 도구이다.

스푸핑(Spoofing)

• 컴퓨터 보안 분야에서 사용되는 용어로, 다른 개체나 시스템을 속여 자신을 다른 것으로 가장하는 행위를 가리킨다. 스푸핑은 주로 다양한 유형의 사기나 해킹 공격에서 사용된다.