Android와 모바일 해킹, 앱 버그바운티까지 공부해야겠다는 결심이 들었다.그래서 frida 기본적 명령어와 옵션 정리하며 frida 입문으로 남들 다 풀어본 fridalab 풀어보고 정리하며 공부하려한다. Frida 명령어/data/local/tmp 에 frida server 설치 후 진행한다. 기본적인 명령어frida-ls-devices연결된 device 들의 리스트 출력frida-ps -D emulator-5554(-U : usb로 연결된 디바이스 / -D emulator-5554 : 가상 디바이스) 기기 연결frida -D emulator-5554 -F [packagename]앱에 attach, 작동 안되면 프리다 서버 확인. ATTACH 관련 표 참고-l [filename]후킹 할때 js파..

본격적으로 앱 취약점 진단을 하기 위해 세팅하는 과정이다.삽질도 많이 했고, 답답하기도 했기에 정리해 두려 한다.해당 과정은 AVD + Android 13 Tiramisu (x86) + google api 시스템으로 진행되었다. BurpSuite 인증서 설치port는 8081로 해주었고, All interfaces로 설정했다. 설정이 되었다면, 본인의 ip(ipconfig 으로 확인)와 설정한 포트 (본인은 8081)로 프록시 세팅을 해줄 수 있다. avd에서 직접 http://burp 로 접속하여 인증서를 다운로드 받아 줄 수 있다..cer 파일로 저장해 준다. 설정에서 "인증서 설치" 로 다운로드한 인증서를 설치해 줄 수 있다. 이렇게만 해도 프록시 세팅은 완료되어 버그바운티를 진행해 줄수 있..

공공부분으로 진출하였긴 하지만 첫 본선 진출했던 cce.짧은 후기와 예선과 본선에서 본인이 풀었던 웹 문제 2개를 정리해 보려 한다. 티오리 한번 잡아보자며 호기롭게 지었던 팀이름이였지만 부족한 실력만 깨닫게 되는 시간이였다.물론 아무도 티오리를 이길수 있을거란 생각을 하진 않았지만, 팀원 모두 첫 본선 진출이니 만큼 많은 기대와 꼴등은 피하자는 생각으로 대회에 임했던것 같다. 공공부분 예선20위, 본선 14위로 아쉬운 성적표였지만, 너무 좋은경험이였고 앞으로 있을 CTF나 대회에서 본선진출만큼은 꼭 계속해내고 싶다는 간절한 생각이 들게 된 좋은 자극제였다. 본인은 예선에서 웹 1문제, 본선에서 웹 1문제를 풀었는데, 다행이도 제일 쉬운 문제가 웹문제로 나와서 한문제라도 풀고 집에갈 수 있게 되어 ..

Thymeleaf 기본이해https://lovflag.tistory.com/27 타임리프(Thymeleaf) 템플릿 엔진 알아보기(1) - 조건문,반복문,기본 문법, 사용법타임리프 소개 타임리프는 서버에서 html을 동적으로 렌더링 할 때 사용하는 템플릿 엔진이다. 간단한 조건문(if, else), 변수표현, 각종 연산(삼항연산, 산수, 비교, 문자, 참 거짓)이 가능하다. 자lovflag.tistory.com   일반적인 SSTI일반적으로 SSTI 공격 구문은 템플릿 엔진에 따라 약간의 차이가 있다.수많은 템플릿 엔진이 존재하지만, 일반적으로, Python의 Jinja2, Java 의 thymeleaf, JS의 Lessjs 등이 존재한다. ${7*7}  {{7*7}}  {% 7*7 %}등으로 확인해 볼..