Security Engineer's Dream

[비스타] 원격 데스크 탑을 도메인으로 접속하기

윈도우XP SP3와 비스타에서는 Peer Name Resolution Protocol 이 제공됩니다.

이와같은 획기적인 기술을 응용하여,
비스타에서 PNRP를 사용하여 원격데스크탑을 도메인으로 접속할 수 있습니다.



방법)
1. 명령프롬프트(cmd.exe)를 관리자 권한으로 실행함 (마우스 우클릭)


2. netsh p2p pnrp peer set machinename name="0.tisiphone" publish=start autopublish=enable
//확인됨 이라고 표시됨 (위에 볼드체에 해당하는 이름을 적음)

3. netsh p2p pnrp peer show machinename
컴퓨터 이름: 0.tisiphone
다른 응용 프로그램에서 현재 컴퓨터에 대해 이 형식 DNS 이름 사용: tisiphone.pnrp.net
컴퓨터 이름을 게시합니다.
컴퓨터 이름이 자동으로 게시되도록 구성되었습니다.

1. 시작 을 클릭하고 실행 을 regedit 를 입력한 다음 Enter 키를 누릅니다.
2. 탐색 창에서 찾아 클릭한 다음 레지스트리 하위 키를 누릅니다.
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. 세부 정보 창에서 마우스 오른쪽 단추로 보안 패키지 수정 을 클릭하십시오.
4. 값 데이터 상자에 tspkg . 다른 SSP 특정 데이터를 그대로 두고 확인 을 클릭하십시오.
5. 탐색 창에서 찾아 클릭한 다음 레지스트리 하위 키를 누릅니다.
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
6. 세부 정보 창에서 SecurityProviders 마우스 오른쪽 단추로 클릭하고 수정 을 클릭하십시오.
7. 값 데이터 상자에 credssp.dll . 다른 SSP 특정 데이터를 그대로 두고 확인 을 클릭하십시오.
8. 레지스트리 편집기를 끝냅니다.
9. 컴퓨터를 다시 시작하십시오.
   
   

•  레지스트리 경로
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 의 Security Packages 에 tspkg. 추가
  

  

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders 의 SecurityProviders 에 credssp.dll 추가
  

  

  
  
  
  # 설정 변경 후 원격데스크탑 정보
  

  

  
  
  이제 접속이 됩니다.
  
  
  

• 사용하는 통신 포트
• attacker -> master : TCP 27665
• master -> daemons : UDP 27444
• daemons -> master : UDP 31335
  
• master가 daemons에게 명령을 보낼 때 사용되는 Default password(plain text)
• l44adsl - trinoo daemon password
• gOrave - trinoo master server startup
• betaalmostdone - trinoo master remote interface password
• killme - trinoo master password to control "mdie" command
  
• trinoo가 설치되는 파일 이름
• ns
• http
• rpc.trinoo
• rpc.listen
• trinix
• rpc.irix
• irix
  
• 주기적으로 trinoo daemon을 실행하기 위해 crontab에 등록한 예
• * * * * *  /usr/sbin/rpc.listen
  
• 탐지 방법
• 네트워크 트래픽 체크 - tcpdump, snoop 등(UDP 트래픽 급증함)
• nmap 체크
  nmap -PI -sT -p 27665 host
  nmap -PI -sU -p 31335 host
  nmap -PI -sU -p 27444 host
• crontab 이나 디렉토리 검색
  master : tserver1900
  daemon : tsolnmb, ns, httpd, rpc.trinoo, rpc.listen, trinix, rpc.irix, irix
• lsof, ps, netstat 등을 통해 포트 확인
  lsof | egrep "31335|27665"
  lsof -p pid (파일경로 확인)

그림출처 : linuxfocus.org

vmlinuz

※가끔리눅스를설치하다보면서버에 CD-ROM이불량이거나또는 DVD-ROM이없어서 DVD로구워진리눅스미디어를설치할수없는경우가있습니다. 이때만약서버가 PXE 부팅이가능하다면 bootp를이용하여원격지에서리눅스이미지를받아서설치할수있습니다. 요즘나오는서버들은보통 PXE agent를지원하므로 PXE 부팅을이용한리눅스설치방법을알아봅니다.
 

2.     구성방법
2.1.필요한 패키지 설치 및 구성

# 동작원리

# 패키지설치

1.       기존서버에 dhcp tftp nfs를설치합니다.

# yum –y install dhcp tftp-server tftp nfs syslinux

2.       DHCP 서버를구성합니다.

#cp /usr/share/doc/dhcp*/dhcpd.conf.sample /etc/dhcpd.conf

#vi /etc/dhcpd.conf

3.       tftp 서버를구성합니다.

#vi /etc/xinet.d/tftp

4.       nfs 서버를구성합니다.

#vi /etc/exports

5.       추가구성

#mkdir –p /tftpboot/fedora8                    //여기에Fedora-8-i386-DVD.iso를복사합니다.

#cp /usr/lib/syslinux/pxelinux.0 /tftpboot/                      

#cp /images/pxeboot/vmlinuz /tftpboot/                            //페도라DVD의 images 폴더

# cp /images/pxeboot/initrd.img /tftpboot/

#mkdir –p /tftpboot/pxelinux.cfg                            //파일이아닙니다. 디렉터리입니다.

#vi /tftpboot/pxelinux.cfg/default

#service nfs start ; service dhcpd start

6.       설치를진행합니다.

CIS_Setup_3.5.53896.424_XP_Vista_x32.alz

CIS_Setup_3.5.53896.424_XP_Vista_x32.a01

CIS_Setup_3.5.53896.424_XP_Vista_x32.a00

[웹서버] Apache 웹서버에서 HTTP Method 차단하는 방법


httpd.conf 에 상기와 같이 수정하시면 됩니다.

# 아파치는 서버 전체에는 옵션을 줄 수 없습니다. 해당 디렉터리 별로 각각 설정하셔야 합니다.

또는

RFC 2068

URL ; http://www.faqs.org/rfcs/rfc2068.html

[리눅스] 64비트 CPU인지 확인하는 방법




• arch 명령으로 i386 인지 확인합니다.
  
• cat /proc/cpuinfo 의 flags 항목에서 lm(long mode) 는 64비트 지원을 의미합니다.
  

 

• 만약 32비트 CPU에 64비트 버전의 리눅스를 설치하면 다음과 같은 메시지를 볼 수 있게 됩니다. ^^;
  

  

[ well-known port number ]

C:\WINDOWS\system32\drivers\etc 에 services 파일을 열어보면,
흔히들 사용하는 well-known 포트정보에 대한 리스트가 있습니다.

자주 사용하지 않는 포트번호를 암기할 필요없이 필요할때 확인해보면 되겠죠? ^^;

-------------------------------------------------------------------------------------------

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This file contains port numbers for well-known services defined by IANA
#
# Format:
#
# <service name>  <port number>/<protocol>  [aliases...]   [#<comment>]
#

echo                7/tcp
echo                7/udp
discard             9/tcp    sink null
discard             9/udp    sink null
systat             11/tcp    users                  #Active users
systat             11/tcp    users                  #Active users
daytime            13/tcp
daytime            13/udp
qotd               17/tcp    quote                  #Quote of the day
qotd               17/udp    quote                  #Quote of the day
chargen            19/tcp    ttytst source          #Character generator
chargen            19/udp    ttytst source          #Character generator
ftp-data           20/tcp                           #FTP, data
ftp                21/tcp                           #FTP. control
telnet             23/tcp
smtp               25/tcp    mail                   #Simple Mail Transfer Protocol
time               37/tcp    timserver
time               37/udp    timserver
rlp                39/udp    resource               #Resource Location Protocol
nameserver         42/tcp    name                   #Host Name Server
nameserver         42/udp    name                   #Host Name Server
nicname            43/tcp    whois
domain             53/tcp                           #Domain Name Server
domain             53/udp                           #Domain Name Server
bootps             67/udp    dhcps                  #Bootstrap Protocol Server
bootpc             68/udp    dhcpc                  #Bootstrap Protocol Client
tftp               69/udp                           #Trivial File Transfer
gopher             70/tcp
finger             79/tcp
http               80/tcp    www www-http           #World Wide Web
kerberos           88/tcp    krb5 kerberos-sec      #Kerberos
kerberos           88/udp    krb5 kerberos-sec      #Kerberos
hostname          101/tcp    hostnames              #NIC Host Name Server
iso-tsap          102/tcp                           #ISO-TSAP Class 0
rtelnet           107/tcp                           #Remote Telnet Service
pop2              109/tcp    postoffice             #Post Office Protocol - Version 2
pop3              110/tcp                           #Post Office Protocol - Version 3
sunrpc            111/tcp    rpcbind portmap        #SUN Remote Procedure Call
sunrpc            111/udp    rpcbind portmap        #SUN Remote Procedure Call
auth              113/tcp    ident tap              #Identification Protocol
uucp-path         117/tcp
nntp              119/tcp    usenet                 #Network News Transfer Protocol
ntp               123/udp                           #Network Time Protocol
epmap             135/tcp    loc-srv                #DCE endpoint resolution
epmap             135/udp    loc-srv                #DCE endpoint resolution
netbios-ns        137/tcp    nbname                 #NETBIOS Name Service
netbios-ns        137/udp    nbname                 #NETBIOS Name Service
netbios-dgm       138/udp    nbdatagram             #NETBIOS Datagram Service
netbios-ssn       139/tcp    nbsession              #NETBIOS Session Service
imap              143/tcp    imap4                  #Internet Message Access Protocol
pcmail-srv        158/tcp                           #PCMail Server
snmp              161/udp                           #SNMP
snmptrap          162/udp    snmp-trap              #SNMP trap
print-srv         170/tcp                           #Network PostScript
bgp               179/tcp                           #Border Gateway Protocol
irc               194/tcp                           #Internet Relay Chat Protocol       
ipx               213/udp                           #IPX over IP
ldap              389/tcp                           #Lightweight Directory Access Protocol
https             443/tcp    MCom
https             443/udp    MCom
microsoft-ds      445/tcp
microsoft-ds      445/udp
kpasswd           464/tcp                           # Kerberos (v5)
kpasswd           464/udp                           # Kerberos (v5)
isakmp            500/udp    ike                    #Internet Key Exchange
exec              512/tcp                           #Remote Process Execution
biff              512/udp    comsat
login             513/tcp                           #Remote Login
who               513/udp    whod
cmd               514/tcp    shell
syslog            514/udp
printer           515/tcp    spooler
talk              517/udp
ntalk             518/udp
efs               520/tcp                           #Extended File Name Server
router            520/udp    route routed
timed             525/udp    timeserver
tempo             526/tcp    newdate
courier           530/tcp    rpc
conference        531/tcp    chat
netnews           532/tcp    readnews
netwall           533/udp                           #For emergency broadcasts
uucp              540/tcp    uucpd
klogin            543/tcp                           #Kerberos login
kshell            544/tcp    krcmd                  #Kerberos remote shell
new-rwho          550/udp    new-who
remotefs          556/tcp    rfs rfs_server
rmonitor          560/udp    rmonitord
monitor           561/udp
ldaps             636/tcp    sldap                  #LDAP over TLS/SSL
doom              666/tcp                           #Doom Id Software
doom              666/udp                           #Doom Id Software
kerberos-adm      749/tcp                           #Kerberos administration
kerberos-adm      749/udp                           #Kerberos administration
kerberos-iv       750/udp                           #Kerberos version IV
kpop             1109/tcp                           #Kerberos POP
phone            1167/udp                           #Conference calling
ms-sql-s         1433/tcp                           #Microsoft-SQL-Server
ms-sql-s         1433/udp                           #Microsoft-SQL-Server
ms-sql-m         1434/tcp                           #Microsoft-SQL-Monitor
ms-sql-m         1434/udp                           #Microsoft-SQL-Monitor               
wins             1512/tcp                           #Microsoft Windows Internet Name Service
wins             1512/udp                           #Microsoft Windows Internet Name Service
ingreslock       1524/tcp    ingres
l2tp             1701/udp                           #Layer Two Tunneling Protocol
pptp             1723/tcp                           #Point-to-point tunnelling protocol
radius           1812/udp                           #RADIUS authentication protocol
radacct          1813/udp                           #RADIUS accounting protocol
nfsd             2049/udp    nfs                    #NFS server
knetd            2053/tcp                           #Kerberos de-multiplexor
man              9535/tcp                           #Remote Man Server

nmap_4.65_setup(window).part2.rar

nmap_4.65_setup(window).part1.rar

Ipscan.exe

ERD COMMANDER KOREAN.part08.rar

ERD COMMANDER KOREAN.part08.rar


ps. T1에서 대용량 파일 하나 올리려니 빡십니다...ㅜㅜ

ERD COMMANDER KOREAN.part07.rar

ERD COMMANDER KOREAN.part07.rar

ERD COMMANDER KOREAN.part06.rar

ERD COMMANDER KOREAN.part06.rar

ERD COMMANDER KOREAN.part05.rar

ERD COMMANDER KOREAN.part05.rar

ERD COMMANDER KOREAN.part04.rar

ERD COMMANDER KOREAN.part04.rar

ERD COMMANDER KOREAN.part03.rar

ERD COMMANDER KOREAN.part03.rar

ERD COMMANDER KOREAN.part02.rar

ERD COMMANDER KOREAN.part02.rar

ERD COMMANDER KOREAN.part01.rar

윈도우 비밀번호 크랙.pdf

# 보통 서버의 유지보수(관리)를 하다 보면 각 서버마다 비밀번호가 다르기 때문에 비밀번호 대장을 만들어놓지
 않았을 경우 비밀번호를 까먹는 경우가 생깁니다.

또한 업체의 직원이나 다른 사람이 계정에 Lock을 걸어놨을 경우 시스템 어드민 권한이 아닐 경우 서버에
접근할 수 없습니다.

가끔 본인의 PC에 비밀번호를 바꾼 후 까먹어 포맷을 하거나 데이터를 날리는 경우도 한번쯤은 모두 경험해
봤으리라 생각됩니다.

# “다른 크랙툴처럼 윈도우 비밀번호를 크랙할 수는 없을까?”라는 생각을 하게 되는데요…

# 기존 비밀번호 크랙 방법 중 SAM 파일을 수정하는 방법 및 다른 방법은 방법이 어려우며, 계정이 가지고 있는
고유 SID 값(리눅스의 UID)이 바뀌기 때문에 자칫 계정에 문제가 발생할 수 있습니다.

# 윈도우 서드 파티를 이용한 크랙을 권유 드립니다.

# ERD-Commander 라는 툴을 다운받으셔서 CD로 구우셔서 사용하면 됩니다.

1. ERD COMMANDER KOREAN.ISO 이미지 파일을 CD로 굽습니다.

2. 비밀번호가 잠긴 PC 또는 서버에 CD를 넣고 부팅을 합니다.(이때 CD 부팅을 함)

3. 무시하며 계속 OK를 누릅니다.

4. 해당 OS가 설치된 시스템을 고른 후 OK를 누릅니다.

5. start -> Administrative Tools -> Locksmith 를 클릭합니다.

6. 계정을 선택하신 후 빈 공란에다 원하시는 비밀번호를 넣으신 후 완료합니다.

7. CD를 빼신 후 사용하시면 변경된 비밀번호로 윈도우의 비밀번호가 바뀐 것을 확인하실 수 있습니다.

# 이와 같은 방법 외에 PE계열의 부팅이미지를 이용한 방법도 있습니다. ^_^
  자세한 방법은 첨부 문서파일을 참조하세엽~

Foxit Reader.exe

[ASCII] 특수문자 셋 정의

ISO-8859-1에 정의된 아스키코드의 특수문자 셋 정의

NUL (null)                  

SOH (start of heading)      

STX (start of text)         

ETX (end of text)           

EOT (end of transmission) - Not the same as ETB   

ENQ (enquiry)               

ACK (acknowledge)           

BEL (bell) - Caused teletype machines to ring a bell.  Causes a beep in many common terminals and terminal emulation programs.

BS  (backspace) - Moves the cursor (or print head) move backwards (left) one space.

HT (horizontal tab) - Moves the cursor (or print head) right to the next tab stop.
The spacing of tab stops is dependent on the output device, but is often either 8 or 10.

LF  (NL line feed, new line) - Moves the cursor (or print head) to a new line.
On Unix systems, moves to a new line AND all the way to the left.

VT  (vertical tab)          

FF  (form feed) - Advances paper to the top of the next page (if the output device is a printer).

CR  (carriage return) - Moves the cursor all the way to the left, but does not advance to the next line.

SO  (shift out) - Switches output device to alternate character set.           

SI  (shift in)  - Switches output device back to default character set.

DLE (data link escape)      

DC1 (device control 1)      

DC2 (device control 2)      

DC3 (device control 3)      

DC4 (device control 4)      

NAK (negative acknowledge)  

SYN (synchronous idle)      

ETB (end of transmission block) - Not the same as EOT 

CAN (cancel)                

EM  (end of medium) 

SUB (substitute)            

ESC (escape)

FS  (file separator)

GS  (group separator)

RS  (record separator)

US  (unit separator)

---------------------------------------------------------------------------------------------------------------

00  000     NUL    (문자열의 끝: Null char)
01  001     SOH    (Start of Heading)
02  002     STX    (Start of Text)
03  003     ETX    (End of Text)
04  004     EOT    (End of Transmission)
05  005     ENQ    (Enquiry)
06  006     ACK    (Acknowledgment)
07  007     BEL    (비프음: Bell)
08  008      BS    (백스페이스: Backspace)
09  009      HT    (탭: Horizontal Tab)
0A  010      LF    (줄바꿈: NL Line Feed/New Line)
0B  011      VT    (Vertical Tab)
0C  012      FF    (프린터 용지 먹임: Form Feed/New Page)
0D  013      CR    (줄바꿈: Carriage Return)
0E  014      SO    (Shift Out)
0F  015      SI    (Shift In)
10  016     DLE    (Data Link Escape)
11  017     DC1    (Device Control 1)
12  018     DC2    (Device Control 2)
13  019     DC3    (Device Control 3)
14  020     DC4    (Device Control 4)
15  021     NAK    (Negative Acknowledge)
16  022     SYN    (Synchronous Idle)
17  023     ETB    (End of Transmission Block)
18  024     CAN    (Cancel)
19  025      EM    (End of Medium)
1A  026     SUB    (Substitute / End of File; EOF)
1B  027     ESC    (Esc키: Escape)
1C  028      FS    (File Separator)
1D  029      GS    (Group Separator)
1E  030      RS    (Request to Send / Record Separator)
1F  031      US    (Unit Separator)

[리눅스] 버전 확인하는 방법

가끔 리눅스 작업을 하러 나가기전 버전 정보가 필요할 때가 있습니다...그럼 리눅스 버전을 어떻게 확인할까요? ^-^

방법)
[root@localhost ~]# uname -a
Linux localhost.localdomain 2.6.23.1-42.fc8 #1 SMP Tue Oct 30 13:55:12 EDT 2007
i686 i686 i386 GNU/Linux

[root@localhost ~]# cat /etc/issue
Fedora release 8 (Werewolf)
Kernel \r on an \m

[root@localhost ~]# cat /etc/issue.net
Fedora release 8 (Werewolf)
Kernel \r on an \m

[root@localhost ~]# cat /etc/redhat-release
Fedora release 8 (Werewolf)

[root@localhost ~]# cat /proc/version
Linux version 2.6.23.1-42.fc8 (kojibuilder@xenbuilder4.fedora.phx.redhat.com)
(gcc version 4.1.2 20070925 (Red Hat 4.1.2-33)) #1 SMP Tue Oct 30 13:55:12 EDT 2007

[root@localhost ~]# cat /etc/rc.sysinit | grep PRODUCT
 PRODUCT=`sed "s/Red Hat \(.*\) release.*/\1/" /etc/redhat-release`
 echo " $PRODUCT"
 PRODUCT=`sed "s/Fedora \(.*\) \?release.*/\1/" /etc/redhat-release`
 echo " $PRODUCT"
 PRODUCT=`sed "s/ release.*//g" /etc/redhat-release`
 echo "$PRODUCT"

[리눅스] ssh 접속 포트 변경하기

방화벽에 의해 ssh 접속 포트인 22번이 열려 있을 경우, ssh brute force attack 이 심심치 않게 secure 로그에 보입니다.

이는 자동화된 툴에 의한 접속으로 생각됩니다. 따라서 ssh 포트를 22번에서 다른 포트로 변경하면 brute forcing에 의한
접속 빈도가 낮아짐을 확인할 수 있습니다.

방법)
가. /etc/ssh/sshd_config 에서 Port 22 -> Port 2009 등으로 변경

나. /etc/rc.d/init.d/sshd restart 또는 service sshd restart


참고) SSH 보안설정

가. root 접속 제한
# PermitRootLogin no

나. 로그인 실패시 재시도 횟수 설정
# MaxAuthTries 3