Ainsetin's Story

잠이 안와서 오랜만에 글이나 써볼까 해서 끄적여본다.. 막상 쓸 내용을 생각하자니 뭘 써야될지 모르겠다. 사실 이 말은 내가 지난 6~7개월 동안 의미 있는 일을 해내지 못해서 그런게 아닌가 싶다. 고생은 고생대로 하지만 결과는 안나오는 회사 업무는 나를 끌어내리기에 충분했고 아직도 진행중이다. 고딩때처럼 단기간에 결과가 보이는 활동을 거의 하지 않으니 사실 하루하루가 행복하지 않다. 가끔씩은 내가 이 회사를 위해서, 이 회사를 대표해서 한 일이 무엇인지 고민하곤 한다. 정말로 지난 1년 3개월의 시간동안 제대로 마무리한 것이 있긴 했을까 싶고 내 능력이 이정도밖에 안되나 싶기도 하고... 되게 복잡한 하루하루를 견뎌내고 있는 상황이다. 이전에는 인간관계 때문에 스트레스를 많이 받았다면 지금은 하나라도 ..

2023년 새해 첫날, 다들 새해 복 많이 받으라는 이야기와 함께 좋은 시간 보내고 오랜만에 이모들도 만나면서 이런저런 이야기를 하며 올해는 잘 해보자는 다짐을 했다. 그렇지만 그렇게 다짐한 것이 무색하게도 한 주 내내 계속해서 하나씩 지워졌고, 하루도 빠짐없이 모진 말들을 많이 들었다. 자신감을 많이 잃었었다. 매사 되게 활발하고 나가는걸 좋아하고 열심히 살고 싶어하던 그런 애였는데 많은 것을 겪다보니 하루 내내 아무말도 안할 정도로 소극적으로 바뀌기도 했다. 문제가 해결되기는 커녕 계속해서 나에게는 21살로서 짊어지기 힘든 것들을 해야 하는 상황이 오게 되었다. 그리고 이것은 아직도 진행중이다. 작년부터 주변 사람들에게 정말 나의 상황에 대해 많이 토로했었던 것 같다. 물론 들어주고 도와주려고 하는 ..

가끔씩 드는 생각인데, 내가 꾸준히 공부한 것도 있겠지만 주변 사람들이 나를 좋게 봐주시고 도와주신 덕분에 지금까지 잘 풀리지 않았을까 싶다. 그리고 지금까지 도와준 분들에게 보답을 할 수 있는 능력도 점점 생기게 되니 마음이 편하다. 특히 1달 전 부모님한테 노트북을 어떤걸 살지에 대한 고민을 풀었었다. 구매 확정을 하고 340이라는 거금을 결제한 이후 마음이 매우 착잡했지만 좋은 회사에 입사하게 되어 꼭 큰맘먹고 샀던 이 노트북은 내가 내돈주고 살거라고 말하며 첫 월급의 일부를 부모님에게 드렸다. 앞으로 정기적으로 그동안 고생하신 부모님에게 일부를 드릴 예정이다. 이제 고등학교 3년 내내 썼던 스티커 덕지덕지 붙은 오디세이 노트북에서 벗어났다. 정말 이제는 디미고 학생이 아님이 실감났다. 그렇지만 이..

이번주에 이틀 연속으로 밤새고 다음날 낮에 자는걸 여러번 했더니 몸이 적응했는지 글을 쓰는 지금까지도 잠이 안온다. 회사 업무는 열정적으로 하고 있는데도 눈에 보이는 성과물이 아직도 없으니 내가 잘하고 있는지도 잘 모르겠다. 접근 방향을 바꿔봐야하나, 아니면 그대로 밀고 나가야 하나 고민이다. 이번주는 룸메도 없어서 기숙사에서 혼자 지내는 시간이 많았다. 되게 고독한 싸움이었긴 한데 이렇게 과제든 일이든 시험공부든 시간 투자하는 것에 대한 보람은 확실히 있었다. 근데 어젯밤에는 일어나서 잘때까지 계속 혼자 있으니까 진짜 외롭고 우울했었다. 친한 동기한테 술이 땡긴다고 DM을 보냈는데 얘가 술자리에 있어가지고 바로 불려나갔다...ㅋㅋ 조금의 일탈이었지만 고독한 싸움 이후 리프레쉬에 도움이 되었다. 되게 놀..

정말 탈이 많았던 고3 입시를 마치고 드디어 나의 본업인 해킹과 코딩에 집중할 수 있게 되었다. 지금까지 겪어보지 못했던 다수의 실패는 나의 목표가 구체적이지 않았음을 의심하고 반성하게 되었던 계기로 삼게 되었으며 나를 전반적으로 되돌아보게 했던 시간이지 않았을까라는 생각이 든다. 우선 이야기하고 싶은 것은, 나는 사실 정시로 대학을 붙을줄 꿈에도 몰랐다. 항상 친구들이 넌 꼭 수시로 좋은 대학 붙으라고 했을때만 해도 내가 정말 그 많은 지원대학 중 한곳은 붙겠지라는 생각으로 지냈고, 수시에 지원할때도 그리 걱정하지 않았다. 또한 수시로 붙을 것이라는 근자감을 가지고 수능도 가볍게 봤었다. 그렇지만, 최상위권 대학이라는 것은 결코 쉽지 않았으며 입시가 확 개편된 초기 시기에 맞닥뜨린것과 운도 지지리도 없..

참 고등학교 생활은 순탄치는 않았다. 회사를 선택할 때 고려하는 것 중 하나인 일과 여가생활, 삶의 균형을 의미하는 "워라벨"과 비슷하게, 나도 고등학교에서 학생의 본분과 해킹과의 밸런스를 맞추고 싶어 그 어느 하나라도 포기하진 않았다. 그러다 보니 나름대로 디미고 친구들이나 선생님들에겐 인정을 받을 수 있었으나, 정말 잘해서 내신이 압도적으로 높다던지, 실력적으로 세계 1등이라던지, 메이저 대회 우승이라던지를 이뤄내본 적이 없었다. 전성기인 고3때는 해킹에 관심있는 동년배들과 대회를 나갈 기회가 전혀 없어서 후배들만을 이끌고 어중간한 성적을 받으면서 나 자신은 만족하지 못하는 상황이 많이 발생했다. 그 친구들도 나름대로 자기 팀이 있어서 그렇긴 하지만, 고2때부터 친구들보다 조금 늦게 시작한 탓에 혼자..

Summary 작년 11월에 2020 Layer7 CTF 후기를 적었었는데, 올해 후기도 써달라는 댓글이 있어서 한번 써보려고 한다. 정말 놀랍게도 작년 9월에 PS에서 해킹으로 전향하고 나서 완성이 되지 않았던 내 실력으로 참가했던 대회에서 올해 우승을 해서 너무 기쁘다. "CTF는 할만하다" 라는 문구로 시작했던 이 대회에서 작년 YISF 우승 이후 다시는 못할 것 같았던 CTF 우승, 그것도 일반부까지 포함된 대회에서 종합우승을 이뤄냈다는 것이 너무나도 뿌듯하기도 했다. 이제는 CTF 뿐만 아니라 좋은 대학의 좋은 동아리, 해킹 팀에 이바지하고 싶고, 좋은 선배들, 지인들도 만나 내 역량을 공유하고, 보탬이 되고자 한다. Layer7 CTF 우승까지의 험난한 여정 잘 볼거라는 확신이 없었던 수능을 ..

Dreamhack kpwnote를 풀고 나서 더이상 커널 모듈이나 코드에 대한 분석 및 Exploit을 진행해본 적이 없어 한번 제대로 분석 노트를 만들어 분석 과정을 정리해 봐야겠다는 생각에 이 글을 쓰게 되었다. 또한 현재 진행하고 있는 Kernel CVE Analysis에도 도움이 될 것이다. kernel source의 위치는 다음과 같이 /usr/src 안에 있음을 확인할 수 있으며, 폴더 이름만으로 어떤 커널 버전을 사용하고 있는지 알 수 있다. 또한, 여기 존재하는 버전을 통해 컴파일을 하여 Ubuntu가 구동되고 있는 상태라고 생각하면 된다. Ubuntu LTS Version 같은 경우 다음과 같이 버전별 사용하는 kernel 버전에 차이가 있다. 위의 버전을 보면 알겠지만, 나는 Ubunt..

나는 server template으로써 작동하는 Jinja2에서 유저가 입력한 내용을 그대로 템플릿에서 실행할 때 발생하는 Server Side Template Injection (SSTI)를 실습할 수 있는 웹해킹 문제를 만들어 볼 것이다. SSTI는 다음과 같이 발생하게 된다. 위 그림에서는 각 단계가 초록색 화살표(injection O), 빨간색 화살표(injection X) 로 분기되어 있다. 그 이유는 무엇일까? 만약 웹 서비스에서 SSTI 취약점이 발생한다면, 어떤 환경인지에 따라 유저가 위와 같은 구문을 집어넣었을 때 결과값이 내가 넣은 문자가 그대로 나오거나 연산 결과를 출력한다. 이는 어떤 template engine을 사용하였는지에 따라 달라진다. 예를 들면, 나는 Jinja2 기반 서..

Flask는 파이썬으로 작성된 마이크로 웹 프레임워크의 하나로, Werkzeug 툴킷과 Jinja2 템플릿 엔진에 기반을 두고 있다. Flask로 누구나 손쉽게 웹 서버를 열 수 있으며, 동작하고 있는 서버 상에서는 debug mode를 통해 어떻게 http 요청이 진행되고 있는지를 알 수 있어 간편하고 깔끔한 웹 프레임워크로 현재까지도 자리잡고 있다. flask로 로컬에서 웹서버를 만드는 과정은 다음과 같다. 1. python3의 pip로 flask 설치 2. flask 설치 후 가장 기본적인 파일인 app.py를 수정하여 원하는 페이지에 접근할 수 있도록 기본 뼈대 작성. 3. python3 app.py 실행 -> localhost:5000에 잘 붙었는지 확인. (기본 포트는 5000) 4. Jinj..