정보보안/웹 해킹(44)
-
Armitage
보호되어 있는 글입니다.
2021.03.23 -
msfconsole 명령어/사용
보호되어 있는 글입니다.
2021.03.22 -
Metasploit - 1
보호되어 있는 글입니다.
2021.03.22 -
OWASP-ZAP 사용
1. 프록시 기능 - burpsuite처럼 프록시 기능 존재, Request 값과 Response 값 등 확인 가능 2. 포트스캔 - 대상의 열린 포트를 검색 3. 스파이더(크롤링 기능) - 웹 사이트의 디렉터리와 페이지를 탐색 - 조건(옵션)없이 이 기능을 사용할 경우 서비스/시스템에 문제를 발생시킬 수 있음 - 검은색 거미 마크로 표시 - 스파이더 기능을 이용하면 자동으로 페이지를 탐색하고 파싱해주지만 찾지 못하는 페이지와 변수가 존재할 수 있음 → 수동 진단도 필요(중요) 4. 에이잭스 스파이더 - 에이잭스 방식으로 탐색하는 스파이더 기능(크롤링) - 붉은색 거미 마크로 표시 5. 강제 검색(Forced Browsing) - 사전 대입 공격과 유사 - uri에 특정 문자열을 붙여 해당 페이지가 존재..
2021.03.07 -
wargame.kr - 11 (tmitter)
열한번째 문제이다. you need login with "admin"s id! =========================== create table tmitter_user( idx int auto_increment primary key, id char(32), ps char(32) ); Start 버튼을 눌러보자. twitter 짭퉁 tmitter가 나온다 회원가입을 해야하는 것 같으니 Sign Up을 눌러본다. 생성할 아이디와 비밀번호를 입력 후 join 버튼을 누른다 생성한 계정으로 로그인을 해보자 게시판..? 같은 페이지가 나온다
2021.02.28 -
wargame.kr - 9 (DB is really GOOD)
아홉번째 문제다. What kind of this Database? you have to find correlation between user name and database. Start 버튼을 눌러 문제를 보자. 문제를 보면 입력폼이 있고 LOGIN 버튼이 존재한다. 입력폼에 아이디를 입력하고 LOGIN하면 다음과 같이 그 아이디로 로그인할 수 있는것 같다. 먼저 admin으로 접근하려고 하자 위와 같이 접근할 수 없다는 알림창이 뜬다. 그래서 test 를 입력해 접근하자 다음과 같은 화면을 볼 수 있었다. 하지만 로그인 시 나오는 화면에서는 별다른 취약점을 찾아볼 수 는 없었다. 이 문제를 풀면서 뭔가를 적을 수 있는 폼에 계속 삽질을 하다가 취약점 발생 지점이 이부분이 아니라 처음 User 입력폼이..
2021.02.27