본문 바로가기

웹 해킹17

웹 해킹 17 [2024.08.07] [Weak Session IDs] $dvwaSession=date("Y-m-d h:i:s",1723027789); echo $dvwaSession; ?> 1723027789 2024-08-07 10:49:491723027818 2024-08-07 10:50:181723027965 2024-08-07 10:52:451723028771 2024-08-07 11:06:11   오늘의 실습도 마찬가지로 레벨 low부터 시작한다   시작 전에 소스 코드를 한 번씩 보고 취약점 힌트를 얻는 것도 좋은 방법이다  오늘은 burfsuite를 실행시키고, Intercept is on 상태에서  Weak Session IDs 페이지로 넘어간 다음 Generate 버튼을 눌러 준다  그렇게 되면 화면.. 2024. 8. 7.
웹 해킹 16 [2024.08.06] [XSS(DOM)]> Security Level: High ?default=English #?default=English #   firefox와 dvwa 페이지 접속을 위해 두 가지를 enable로 항상 활성화 상태로 만들어 놓는다   레벨 high로 설정  스페이스와 #을 붙여 기존 script 명령어만 실행되며, XSS와 document.cookie 모두 실행된다  [CAPTCHA] > Security Level: Low  captcha 실습을 진행하기 전에 레벨 설정부터 한다low 레벨로 설정   항상 따라만 하기보다 이렇게 소스를 보고 방법을 터득하는 것도 하나의 공부 방법이다  먼저 zaproxy를 실행시킨 후 화면의  체크 표시되어 있는 곳을누르면 빨간색으로 변경되며 브.. 2024. 8. 6.
웹 해킹 15 [2024.08.05] [DVWA] 01. 설치 # cd /var/www/html    # wget https://github.com/ethicalhack3r/DVWA/archive/master.zip > 압축 해제#unzip master.zip > 링크#ln -s DVWA-master dvwa   기존의 구 버전인 dvwa 취약점 페이지가 아닌최신 버전의 dvwa로 실습을 진행하기 위해 필요한 것들을 다운로드한다  *번외로 다운로드 안 될 시 해당 파일 열어서 dnsnameserver 맞는지 확인하기  02. 관련 패키지 다운로드 및 설치 #apt-get -y install php-mysql#apt-get -y install php#apt-get -y install php-gd#apt-get -y in.. 2024. 8. 6.
웹 해킹 14 [2024.08.02] [SQL Injection] > 사용자 출력"select first_name,last_name from users where user_id='union select null,user()#';"; > 데이터베이스, 버전"select first_name,last_name from users where user_id='union select database(),version()#';"; > 테이블'and 1 = 1 union select table_schema,table_name from information_schema.tables # > 필드' and 1=1 union select table_schema,column_name from information_schema.columns .. 2024. 8. 3.
웹 해킹 13 [2024.08.01] [XSS Stored]> Sercurity Level: Medium > 대소문자 우회 가능> 문자 겹치기  클릭마우스 올리기쿠키 정보 탈취  xss - 제목이 취약점이며, 본문으로는 가능한 게 없다 > Security Level: high- 제목과 본문 모두 가능한 것이 없다   오늘도 XSS Stored 마무리를 짓기 위해 실습을 시작해 본다지난 시간에는 low 레벨로 진행했기 때문에 오늘은 레벨을 medium으로 설정한다  기존의 script 명령어를 통하여 진행 시에는 모두 정상적으로 실행된다  script 명령어지만 문자 겹치기를 이용하여 실행할 수 있다  실행 시 정상적으로 해당 화면이 나타나게 된다  문자 겹치기에서 단어 수를 줄인 다음 시도하게 되면  이 방법의 경우도.. 2024. 8. 2.
웹 해킹 12 [2024.07.31]  > Security Level: Mediun > 대문자/소문자 우회 > alert('xss')> alert('XSS')> alert('XSS')> alert('XSS')> alert('XSS')> alert(document.cookie) > onerror 핸들러>   > > 클릭> > 클릭   실습을 진행하기에 앞서 Security Level을 medium으로 설정해 준다  XSS reflected로 접속 시 이런 화면이 나타나는데화면에 alert('XSS')를 입력한다 *화면에는 ('XSS)라고 되어 있지만 오타입니다  눌러 주게 되면 해당 화면이 나오며 우회를 성공한다  이밖에도 여러 가지 대소문자 유형들로 모두 성공시켜 보았다  이번에는 ('XSS') 칸에 document... 2024. 7. 31.

티스토리툴바