독학두비니

War Games/dreamhack

[web] XSS Filtering Bypass Advanced

보호되어 있는 글입니다.

Crypto

Hashing with Salt and Pepper

Hashing with Salt and Pepper Server-Side Password Storage 1. 개요 해시함수는 실생활에서도 자주 이용되고 있습니다. 임의의 값에 대해 고정된 길이로 매핑할 수 있기 때문에 보통 hash table의 형태로 많이 사용되고 있습니다. 오늘은 단순한 해시 함수가 아닌, Salt와 Pepper를 사용한 해시 함수에 대해서 설명하고자 합니다. 2. 배경지식 예를 들어 한 서비스에서 비밀번호를 hash table의 형태로 관리하고 있다고 가정합시다. 그러면 예를 들어 아래와 같이 hash table이 저장되어있겠죠? User Hash Alice 20A0B08E69 Bob 630B0260BC Charlie 20A0B08E69 Daisy 82B97C9972 그러면 예를 들..

Crypto

Rainbow Table Attack 알아보기

Rainbow Table Attack 알아보기 1. 개요 오늘은 Rainbow Table Attack에 대해서 알아보도록 하겠습니다. Rainbow Table Attack은 주로 암호 알고리즘을 알고 있고 자유롭게 평문-암호문 쌍을 생성할 수 있는 환경의 선택평문공격(Chosen-Plaintext Attack)으로 분류됩니다. 예를 들어서 대부분의 서비스들은 유저의 비밀번호를 암호화/해싱이 된 형태로 저장합니다. 그래야 전송 과정에서 탈취를 당하더라도 credential이 유출되지 않기 때문입니다. 그러면 이때 암호문을 탈취한 뒤, 평문을 다시 얻어낼 수 있을까요? 선택평문공격을 할 수 있는 환경이라면 Rainbow Table Attack을 수행할 수 있습니다. 2. Rainbow Table 생성 우선 ..

잡소리

2022년 회고록

2022.12.25 시간 참 빠르다.... 매년 회고록을 남기는게 나중에 보는 재미가 있어 올해도 쓰려고 한다. 올해는 정말 믿을 수 없는 일들이 많이 일어났다. 오랫동안 하고싶어했던 대외활동에서 좋은 성적을 거두었고, 코로나도 풀려 각종 축제와 행사들에도 참가하였다. 그리고 무엇보다 교환학생에 합격하여 독일에서 6개월이라는 시간을 보내고 있다. 심지어 이 글은 놀러와서 부다페스트에서 쓰고있는중...ㅋㅋㅋㅋ 올해 학업적으로 보았을 때 그렇게 큰 성과가 있지는 않았다. 애초에 시간투자를 하지 못했기 때문이다. 물론 연구, 수상, 발표, 해외활동 등등 활동을 안한건 아니지만, (어 뭐야 막상 써보니까 꽤 많을지도?) CTF를 한다거나 버그바운티를 하는 등의 활동이 없어 안타까운 것 같다. 그래도 2022년은..

Crypto

Hashcat 사용기

Hashcat 사용기 수업 실습 중 재미있는 툴을 알게되어서 간단한 글을 작성해보려고 합니다. Hashcat이라고 하는 브루트포싱 툴인데, 이것저것 가능하더라구요. 1. Installation sudo apt install hashcat 2. Usage Hashcat은 기능이 많아서 각각 설명하기에는 너무 길어집니다. 시간이 많고 궁금하신 분들은 hashcat --help를 통해서 정독시간을 가지시면 될 것 같습니다. 저는 많이 쓰이는 옵션만 간단하게 짚고 넘어가도록 하겠습니다. 쭉 가볍게 읽고, 아래 example에서 직접 해보면서 이해 안되는 부분이 있다면 돌아와도 좋을 것 같습니다. Hash Type (-m) 가장 먼저 해시 함수의 종류입니다. 엄청 많이 있는데, 가장 핵심적인 친구들만 적어보도록 ..