들어가며 내부 네트워크 모의침투테스트나 레드팀 활동 중 가장 중요한 요소를 뽑으라면 바로 액티브 디렉토리 (Active Directory, 이하 AD)의 포스트 익스플로잇 (Post-Exploitation) 및 횡적 이동 (Lateral Movement)일 것이다. 최근 클라우드 환경 및 풀-SaaS 등을 도입하는 고객들도 있지만, 아직까지는 온프레미스 AD나 하이브리드 AD를 가지고 있는 고객들이 훨씬 더 많기 때문에…
들어가며 이 글에서는 취약점 분석 방법과 InfiniteWP Client < 1.9.4.5 (CVE-2020-8772) [https://nvd.nist.gov/vuln/detail/CVE-2020-8772] 라는 워드프레스 플러그인 취약점 분석을 진행한다. 글 자체는 IWP 플러그인의 취약점에 대해서 설명하지만, 사실 중요한 부분은 취약점 분석 방법이다. 따라서 너무 디테일에 신경쓰기 보단 전반적인 큰 그림을 보는 것을 추천드린다.…
If you are an English speaker, please check out the english version of this blog
post here! (link TBD).
2019 International CPTC 2위를 수상한 우리팀2019년 11월 24일, 내가 속해있는 RIT 대학교 팀이 국제 CPTC (Collegiate Penetration Testing Competition) 대회에서 60개팀 중 2등을 수상했다. CPTC 자체가 상당히 특이한 대회고, 내가 개인적으로 재미있게 준비하고 참가한 대회라서 이렇게 블로그 글을 남겨본다. CPTC가 어떤 형태의 대회인지, 어떻게 우리팀이 대회를 준비했고, 어떤 문제점들을 마주치고…