Jeff_ITBlog

https://www.vulnhub.com/entry/kioptrix-level-13-4,25/ Kioptrix: Level 1.3 (#4)This mentions the name of this release, when it was released, who made it, a link to 'series' and a link to the homepage of the release. It's common for an author to release multiple 'scenarios', making up a 'series' of machines to attack.www.vulnhub.comkioptrix 4번째 실습입니다. 실습 VM 구축은 이전에 설정하는 것과 똑같이 진행하면 이상없이 IP가 잘 잡힐것입..

https://www.vulnhub.com/entry/kioptrix-level-12-3,24/ Kioptrix: Level 1.2 (#3)This mentions the name of this release, when it was released, who made it, a link to 'series' and a link to the homepage of the release. It's common for an author to release multiple 'scenarios', making up a 'series' of machines to attack.www.vulnhub.com이번 실습 VM의 특이사항이라면 /etc/hosts에 실습 VM의 IP를 넣어줘야한다는 점이 있습니다.sudo vi /..

https://www.vulnhub.com/entry/kioptrix-level-11-2,23/ Kioptrix: Level 1.1 (#2)This mentions the name of this release, when it was released, who made it, a link to 'series' and a link to the homepage of the release. It's common for an author to release multiple 'scenarios', making up a 'series' of machines to attack.www.vulnhub.com실습 VM이 IP가 안잡힌다면 이전 글에서 설명한 실습 VM 셋팅을 보시고 셋팅을 하면 잘 잡힙니다. 실습 환경 : V..

https://www.vulnhub.com/entry/kioptrix-level-1-1,22/ Kioptrix: Level 1 (#1)This mentions the name of this release, when it was released, who made it, a link to 'series' and a link to the homepage of the release. It's common for an author to release multiple 'scenarios', making up a 'series' of machines to attack.www.vulnhub.com이번 시나리오 모의해킹은 Kioptrix 입니다. 이 실습 VM은 IP가 잘안잡혀서 살짝 삽질을 좀 했는데 IP 설정하는 것..

https://www.vulnhub.com/entry/dina-101,200/  Dina: 1.0.1This mentions the name of this release, when it was released, who made it, a link to 'series' and a link to the homepage of the release. It's common for an author to release multiple 'scenarios', making up a 'series' of machines to attack.www.vulnhub.com시나리오 모의해킹을 공부하고 연습하기 위해서 수많은 ctf, wargame 사이트 중에서 제가 선택한 사이트는 vulnhub 입니다. ctf에서 출제된 문제들..

이전 게시글에서는 익스플로잇 하는 방법에 대해서 살펴보았다. 이 취약점은 21년도 12월에 제로데이로 트위터에 게시되어 많은 관심이 있었다고 한다 이 취약점이 공개된 이후 단 4일만에 공식 패치가 출시되어 짧은 시간동안만 제로데이였다고 한다.  이제 익스플로잇 코드에 대한 분석을 해볼 것이다. # Exploit Title: Grafana 8.3.0 - Directory Traversal and Arbitrary File Read# Date: 08/12/2021# Exploit Author: s1gh# Vendor Homepage: https://grafana.com/# Vulnerability Details: https://github.com/grafana/grafana/security/advisorie..

2021년 12월 경 j0vsec이 그라파나의 경로 탐색 취약점을 발견했다고 했다. 이 취약점으로 인해 인증되지 않은 사용자가 호스트의 파일을 읽을 수 있다.부여된 CVE 코드는 CVE-2021-43798 이며, CVSSv3 Score는 7.5인 높은 수준의 취약점이다.이 취약점에 해당하는 버전은 8.0.0 ~ 8.3.0 까지의 버전에서 취약점이 발견되었으며, 제로데이 취약점이 발견한 후에 바로 패치를 진행했다고 한다. 하지만 아직 취약점이 발견된 버전을 사용하고 있는 서버는 업데이트를 하는 것을 추천한다.  Grafana 8.3.0 서버 구축서버는 Centos7 에서 구축을 진행했다.# grafana 8.3.0 installwget https://dl.grafana.com/oss/release/graf..

오랜만에 게시글 포스팅합니다.마지막 블로그 글 이후에 모의해킹 강의도 듣고 이것저것 공부하는데 벌써 몇달이 흘러버렸네요,, 다시 제가 공부하는 것들 해킹 관련된 문제 Write-Up 등등 다양하게 다시 포스팅 할 예정입니다. 다시 한번 잘 부탁 드리겠습니다.Carve-Party할로윈 파티를 기념하기 위해 호박을 준비 했다고 한다. 호박을 10000번 클릭하면 플래그를 획득할 수 있다.문제를 다운받고 접속하면 아주 귀여운 호박이 우릴 맞이해준다ㅋㅋㅋ  이 호박은 누를때 마다 10000에서 -1 씩 카운트가 줄어든다.페이지 소스에서 자바스크립트 코드를 확인한 결과 길고 복잡한 코드들이 나오는데 그중에서 중점적으로 봐야할 코드를 아래에 적어놓았다.$(function() { $('#jack-target').c..

풀이 rcity18@9947d876f6e5:~$ ls -l total 4 -rw-r--r-- 1 root root 918 Mar 6 08:04 rcity19 rcity18@9947d876f6e5:~$ head rcity19 Flag components: adding one by one adding one by one adding one by one adding one by one adding one by one adding one by one adding one by one adding one by one adding one by one 뭔가 엄청나게 많은 것같다 rcity18@9947d876f6e5:~$ git log commit 7599ad53e055ece5b61ef8b81f149940187bd35f..

풀이 rcity17@9947d876f6e5:~$ ls rcity18 rcity17@9947d876f6e5:~$ cat rcity18 Initial commit Add feature A Add feature B 별 다른 내용 없다 rcity17@9947d876f6e5:~$ git log commit ace1b3e50dc2d3e51d56174ae9df97751b28317a (HEAD -> master) Author: rcity17 Date: Wed Mar 6 08:04:14 2024 +0000 Add feature B by Alice commit 6c18974e94e36f197b21d1229eaab6c6da6b6d42 Author: rcity17 Date: Wed Mar 6 08:04:14 2024 +000..