가. BetaBank 설치 및 실행
1. BetaBank 이란?
- 베타뱅크란 C/S App 취약점 진단 · 모의해킹을 연습할 수 있는 가상환경이다.
2. BetaBank 설치 및 실행 방법
- 아래의 게시글을 참고하여 'BetaBank'를 설치 및 실행한다.
[CS App 취약점 진단 · 모의해킹] - BetaFast · Bank 설치 및 실행 방법 정리
BetaFast · Bank 설치 및 실행 방법 정리
가. Docker Desktop 설치 및 실행1. Docker Desktop 이란?- Windows와 macOS에서 Docker 환경을 쉽게 구축하고 관리할 수 있도록 도와주는 애플리케이션이다. 2. Docker Desktop 다운로드- 아래의 사이트에 접속하여
hagsig.tistory.com
나. Strings 설치
1. Strings 이란?
- 파일 내부에 포함된 텍스트 문자열을 추출해 주는 유틸리티이다.
2. Strings 다운로드 및 압축 해제
- 아래의 사이트에 접속하여 "Strings.zip"파일을 다운로드한 뒤 압축을 해제한다.
https://learn.microsoft.com/ko-kr/sysinternals/downloads/strings
문자열 - Sysinternals
이진 이미지에서 ANSI 및 UNICODE 문자열을 검색합니다.
learn.microsoft.com
다. BetaBank 회원가입 및 로그인
1. 일반 사용자 권한의 계정 생성
- 'Create Account' 버튼을 클릭하여 임의의 계정을 만든다.
2. 일반 사용자 권한의 계정으로 로그인
- 위에서 만든 계정으로 로그인한다.
라. 메모리 덤프 및 분석
1. 메모리 덤프
- '작업관리자'(Ctrl+Shift+Ecs)의 '세부정보'에서 'BataBank.exe' 선택 → 우클릭 → '덤프 파일 만들기' 클릭
2. 문자열 추출
- 아래의 명령어를 입력하여 메모리 덤프 파일에서 문자열만 추출한다.
strings.exe BetaBank.DMP >> BetaBank.DMP.txt
3. 중요정보 평문노출 여부 분석
- 추출된 문자 중 평문으로 노출되면 안 되는 중요한 정보가 있는지 검색기능을 통해 확인한다.
- 'BataBank.exe' 로그인 시 사용된 패스워드("hagsigpassword")가 평문으로 노출되는 것을 확인할 수 있다.
'CS App 취약점 진단 · 모의해킹' 카테고리의 다른 글
| BetaBank 풀이 - 어셈블리 변조 취약점(무결성 검증) (0) | 2024.11.12 |
|---|---|
| BetaFast 풀이 - 중요정보 평문저장 취약점(로컬 저장소) (0) | 2024.11.10 |
| BetaBank 풀이 - 패킷 변조 취약점(SQL Injection) (0) | 2024.11.07 |
| BetaFast 풀이 - 권한 우회 취약점(관리자 전용 히든 메뉴 접근) (0) | 2024.11.07 |
| BetaFast · Bank 설치 및 실행 방법 정리 (0) | 2024.11.06 |
