전체 글153 웹 해킹 12 [2024.07.31] > Security Level: Mediun > 대문자/소문자 우회 > alert('xss')> alert('XSS')> alert('XSS')> alert('XSS')> alert('XSS')> alert(document.cookie) > onerror 핸들러> > > 클릭> > 클릭 실습을 진행하기에 앞서 Security Level을 medium으로 설정해 준다 XSS reflected로 접속 시 이런 화면이 나타나는데화면에 alert('XSS')를 입력한다 *화면에는 ('XSS)라고 되어 있지만 오타입니다 눌러 주게 되면 해당 화면이 나오며 우회를 성공한다 이밖에도 여러 가지 대소문자 유형들로 모두 성공시켜 보았다 이번에는 ('XSS') 칸에 document... 2024. 7. 31. 웹 해킹 11 [2024.07.29] [File Inclusion] 바로 실습을 진행하기 위해 해당 경로에서 rfi.php라는 파일을 생성했다 파일 안에 해당 내용을 입력 후 저장 Kali Linux의 IP 주소를 넣고 rfi.php를 입력하면 해당 화면이 뜨는 것을 테스트했다 그 상태에서 해당 경로로 입력 후 이동하게 되면 상단에 이렇게 passwd 파일이 출력된다 경로 조작 취약점은 웹 애플리케이션이 사용자 입력을 통해 파일 경로를 지정할 때,악의적인 사용자가 상위 디렉토리로 이동하는 ../ 시퀀스를 사용하여 원래 의도된 파일이 아닌시스템의 민감한 파일을 열람하거나 접근할 수 있는 취약점이다 이번에는 Security 레벨을 medium으로 설정하고 진행 레벨에 변동을 줬지만 그래도 정상적으로 출력.. 2024. 7. 30. 리눅스 마스터 12 [2024.07.28] [허가권] > u(user), g(group), o(other), a(all)> r(read)/읽기, w(write)/쓰기, x(eXecute)/실행> w(write)/쓰기: 생성/수정/삭제 권한이 모두 부여 -rw-(소유자)r--(그룹)r--(제3자). 1 root root 0 7월 28 14:10 file1 > [특수 허가권] [소유자] [그룹] [제3자] [파일 권한] > 허가권: 666 r(4): 읽기 w(2): 쓰기 x(1): 실행 [디렉터리 권한] > 허가권: 777 r(4): 읽기 w(2): 쓰기 x(1): 실행 ======================================= rwxrwxrwxr(4)w(2)x(1)r(4)w(2)x(1)r(4)w(.. 2024. 7. 29. 리눅스 마스터 11 [2024.07.27] [사용자 관리] 01. 사용자 생성/수정/삭제 1) 사용자 생성 #useradd [계정명] > /etc/passwd test4:x:1002:1002::/home/test4:/bin/bash[계정명]:[패스워드]:[UserID]:[GID]:[Comment]:[홈 디렉터리]:[사용자 셸 종류] *:: 사이에 yrg라는 사용자를 넣어 줄 수도 있다 > /etc/shadow > /etc/group > /home/ 계정 디렉터리 생성> /var/spool/mail *spool 아래의 mail이지만 심볼릭 링크가 존재하여 mail로 바로 넘어갈 수 있다 2) 사용자 삭제 #userdel -r [사용자명]> 각 에디터를 들어가서 직접 삭제 진행 3) 사용자 정보 수정 #usermod .. 2024. 7. 27. 웹 해킹 10 [2024.07.26] [Command Execution] > Level: Low > ||, |, &&, &, ;(세미콜론)> ping -c 3 || ls -l> ping -c 3 ; ls -l> ; > Level: Medium > |, ||, &> ping | ls -l> ping || ls -l > ping -c 3 & ls -l> ping -c 3 | ls -l> ping -c 3 || ls -l> ping -c 3 || cat /etc/passwd > 1 || ls -l> 1 | ls -l> 1 || cat /etc/passwd > | ls -l> || ls -l> & ls -l> & cat /etc/passwd 이번 시간에는 Command Execution의 연장선으로 수업을 시작했다어제와 .. 2024. 7. 26. 웹 해킹 9 [2024.07.25] 01. Brute Force Attack 오늘은 Kali Linux의 burpsuite로 실습을 진행한다 첫화면에서 Next, 그 다음은 시작을 눌러 주면 실행된다 zaproxy에서의 브레이크 기능과 같은 게 intersept라고 보면 되고,현재 실습을 진행할 때는 proxy를 사용하게 된다 proxy의 proxy settings를 눌러 주면 이런 화면이 나타나는데현재로써는 자동으로 설정값이 부여되어 있는 상태로 확인할 수 있다 그런 다음 firefox로 dvwa를 접속하게 되면 이렇게 접속 기록을 스캐닝이 진행되며,스캐닝이 완료된 건에 접근이 가능하다 해당 dvwa 페이지는 웹 취약 서버이다 Brute Force Command Execution File Inc.. 2024. 7. 26. 이전 1 ··· 12 13 14 15 16 17 18 ··· 26 다음
