들어오자마자 플래그 어디있냐고 물어봤는데 서버는 로봇이 훔쳐갔댄단다.

아마 대충 웹페이지에서 robots.txt의 역할은 검색사이트에서 웹페이지 수집 허용/제한하는 규격?? 비슷한거다.

그래서 그냥 페이지 접속을 하니 플래그를 준다.

접속하자마자 ?url= 로 인자를 받는다고 한다. 추가적으로 인자 내에 https와 http가 포함되어야 한다. 안그러면 no hack 이란다. 추가적으로 config.php와 index.php가 존재함을 알 수 있다.

혹시몰라 server-status를 입력하니 간단하게 아파치 서버임을 알려준다.

대충 인자 값 넣어서 오류로 index.php 위치 확인이 가능하다.

이전 코드상에서 확인 가능했던 config.php를 입력하고 소스코드를 보니 주석으로 플래그가 적혀있다.

들어오자마자 로그인으로 접속하라고 한다. 문제 제목부터 sql injection 넣으라는 듯 하여 아이디에는 admin 패스워드에는 ' OR '1' = '1 을 넣어 로그인하기로 한다.

nc로 접속시 랜덤으로 버퍼 크기와 scanf 길이가 정해진다. 내용을 읽어보니 취약점을 고치라고 되어있어 버퍼의 크기를 바꿀수 있으나 scanf의 크기를 바꾸기로 한다.

배열 마지막에는 NULL이 들어가야 하므로 7칸으로 제한하면 버퍼오버플로가 나지 않도록 가능 하다.

군생활이 끝나고, 복학을 하려고 준비하던 참에 이전에 후반기 교육에서 학점이 인정된다는건 보았는데, 정보보호병 검색했을때 한개도 안나와서 지금 호다닥 씁니다.

https://www.cb.or.kr/creditbank/base/nMain.do

이곳에 접속을 하면 학접은행제 라는 페이지가 나옵니다.

회원가입이 안되어있으면 회원가입을 하신 다음

가운데에 군교육훈련 학점인증서 발급이라는 곳이 보입니다. 클릭 후 로그인을 다 하시면.

취득과목 확인 및 증명서 발급이 가능합니다. 저는 육군 정보보호병으로 정보통신학교를 다녀와서 정보보호병이라고 적혀있네요. 아무튼 이렇게 발급이 가능합니다. 예.

20000

입대한지도 55퍼가 넘어가는 TUNA 그 자체 정보보호병의 지원기 남깁니다.

일단! 육군 정보보호병 신청의 경우 병무청 페이지 참고 바람. 공군은 지원을 해보려 했으나 눈때문에 지원을 안했습니다.(적록색맹인지라 공군 지원 자체가 불가능 한걸로 알고 있는데 한번 지원이라도 넣어볼걸 그랬나봅니다)

1차 서류 심사

 병무청 페이지에 자세하게 적혀있으나 2018년 12월 입대 기준으로 1차의 경우 서류, 2차의 경우 면접과 시험이 진행되었습니다. 1차는 통과하기 어려울수도 쉬울수도 있는게 경쟁률이 계속 다릅니다. 나의 경우 2.X대가 아닌 1.X 경쟁률을 통해 1차에서 2배수를 뽑아 무조건 1차 서류는 무조건 통과였습니다. 경쟁률이 각 시기마다 다르니 계속 지원하다 보면 1차를 통과하게 될겁니다. 유리한 조건의 경우 자격증, 경력 등인데 사실상 대학생활을 오래하면 가산점이 많이 붙는 만큼 대학생활을 오래하면 붙을 확률이 높아지며 KUCIS 동아리의 경우에도 가산점이 붙습니다. 거기에 자격증까지 있으면 바로 통과하겠죠? 그만큼 군생활 하면서 평균나이대가 높은곳이 정보보호병입니다.(물론 이 평균나이대가 높은거 때문에 가끔 문제가 있습니다.) 추가적으로 1차 점수와 2차 점수가 합산되니까 이부분도 생각해야합니다.

 정리 : KUCIS 동아리 경력, 대학생활 경력(정보보호 분야의 경우 컴공보다 높은 점수를 얻습니다), 정보보호관련 직업 경력, 자격증이 1차 통과를 정함. 물론 경쟁률이 낮으면 많은 차이는 안남.

2차 면접 심사

2차 시험

 1차에 통과를 하면 카톡 또는 메세지로 안내가 왔던것으로 기억합니다. 아마 대전에서 봤던거 같은데 이부분은 1차 통과하고 생각하셔도 됩니다. 2차 면접장으로 늦지않도록 갑시다! 2차의 경우 면접과 시험이 진행되나 이것도 기수마다 다를수가 있습니다. 저같은 경우 시험을 보고 면접을 보러 들어갔습니다. 시험의 경우 이전기수들이 무슨 문제들을 풀었는지 파악을 하고 갔습니다. 다행히 이전기수들과 같은 문제들이 반겨줬습니다. 문제는 대부분 공격기법(워터링홀 등), 정보호개론 문제, 그리고 가장 중요한 최근 동향입니다. 최근 동향의 경우 보안뉴스들에 나온 공격기술명 등이 나오기 때문에 하루에 몰아서라도 보시는걸 추천합니다. 가장 중요한건 면접을 빨리보는게 집에 빨리 갈수 있으므로 18시에 끝나는경우도 생길수 있어서 꼭 시험을 빨리 풀고 나오셔서 면접장으로 이동하시길 바랍니다.

 정리 : 정보보호 동향, 공격기법, 정보보호개론 관련 내용을 알아두면 시험이 쉬우며 빨리 풀어야 빨리 면접을 볼수 있고 빨리 집에 갈수 있습니다.

2차 면접

 12월 입대기준의 경우 시험을 빠르게 마치고 면접장앞에 의자에서 대기를 합니다. 여기서 만약 같이 지원한 친구가 있다면 생각보다 면접이 순조롭게 이루어질수 있는데 친구와 같이 앉아있으면 같이 면접을 볼 수 있습니다. 면접 내용의 경우 자신이 아는 분야, 최근 군 관련 정신, 그외.. 로 진행됩니다. 솔직히 이부분이 가장 중요한데 기억이 나질 않아서 다음에 적도록 하겠습니다. 면접에서 단정 유무, 분위기 등도 파악이 되기 때문에 되도록 옷도 깔끔한 옷을 추천드립니다.(저희땐 정장 등이 등장하였습니다.)

 정리 : 면접이 2명씩 진행되면서 친구와 함께 있으면 같이 들어가는게 좋다. 면접 내용은 자신의 분야와 관련 질문, 군 관련 정신, 그외.. 또한 단정도 점수도 있음.

면접을 본지도 1년이 넘었던거 같아서 기억이 나질 않습니다.. 추가적으로 생각나면 더 적도록 해야겠습니다.

공군 정보보호병의 경우 제가 지원하질 않아서 따로 적어두진 않겠습니다.

추가적으로 댓글에 적어두시면 질문에 대한 답변은 가능합니다.

대학생활 하면서 블로그 포스팅이 뜸해졌다.. -_-;;

이번에 애플리케이션을 분석해야하는 일이 생겨 분석하려던 참 apkmanager가 기억나 찾아보았는데 웃음투자 님께서 아예 2017. 1. 2. 12:32 일 이후로 수정이 없으신듯 하여 간단하게 수정하는 방법만 알려주기로 한다.

저작권 때문에 남의 작품을 여기에다가 무단수정해서 올리는건 일단 저작권 문제도 있기에.. (출처 밝히면 될 수도 있는데 아무문제 일으키기 싫다..)

간단하게 apktool만 업데이트 시키는 방식이며 다른 baksmali 툴이라던지 그런게 업데이트 되어있으면 이 방법과 똑같은 방법으로 해결하면 된다.

일단 apk-manager 현 최신버전을 받는다.

http://softdx.kr/220900550710

이곳에서 받을 수 있으며 웃음투자 님께서 포스팅 해주신 글이다. 다운받으려면 여기서 처리하길..

다운받고 압축은 풀어둘 것..!

다운이 완료되면 

https://ibotpeaches.github.io/Apktool/install/

이곳을 들어가 Current Version 을 누른다. (18.10.10기준 2.3.4 버전이다.)

누를 경우 apktool_[version].jar 이 다운로드 된다. 적당히 apkmanager에 맞춰서 넣으면 되기에 받은 apktool의 이름을 apktool.jar로 바꾸고 apk-manager/other 내에 apktool.jar 을 넣으면 apktool 최신버전이 적용된다. 정말 간단하다.

앱 분석 중 잠시 막혀서 간단하게 이 글만 쓰기로 한다.