(8회차) Command Injection 공격 - DVWA Command Injection 이라는 취약한 변수로 시스템 명령어를 주입해서 서버 운영체제에 접근하는 공격 예를 들어 보통 웹에서 관리자가 의도한 명령어가 아닌 다른 명령어를 주입하여 서버 정보를 알아 낸다. 해당 탭이 어떠한 원리를 이용하여 돌아가는지 소스를 알아보도록한다 해당 탭에서는 shell_exec라는 함수를 호출한다음 ping 에 사용자가 입력한 변수를 담아서 브라우저에 출력하는 것이다. 정보확인 1; (아무의미없는 값채우기용) ls -all하여서 해당 ip가 가지고있는 정보를 알아보았다 파일마다의 읽기쓰기엑세스권한을 알수있었다 파일작성 cat > hack 을 이용해서 hack 이라는 파일을 만들고 확인해볼 수 있다 . 파일에 글쓰기 'hacking2' >> hack 명령어를 사용해서 hac.. (7회차) 칼리 리눅스 - Webscarab 스파이더링 실습 해당 webscarab 툴을 이용하여 연습용 사이트 제외한 사이트에 허가받지않는 사이트는 사용을 금치않길바랍니다. 간단개념 웹 보안 응용 프로그램 테스트 도구 웹 브라우저 웹 요청과 웹 서버 응답을 가로채서 변경할 수있는 프록시 역할 WebScarab은 OWASP (Open Web Application Security Project) 에서 개발 한 오픈 소스 도구 Java 로 구현되어 여러 운영 체제에서 실행 스파이더링의 뜻 웹 크롤러는 조직적, 자동화된 방법으로 월드 와이드 웹을 탐색하는 프로그램이다. 웹 크롤러가 하는 작업을 웹 크롤링 혹은 스파이더링이라 부른다. 검색 엔진과 같은 여러 사이트에서 데이터의 최신 상태 유지를 위해 웹 크롤링을 하는데 크롤러는 대체로 방문한 사이트의 모든 페이지의 복사본.. (6회차) 칼리리눅스 - commix [원격코드실행] 실습 간단개념 Commix는 [ command ] [ injection ] [exploiter] 의 약어로 주어진 파라미터에서 커멘드인젝션 취약점을 찾고 공격할 수 있는 Python으로 개발된 오픈 소스 프로 그램 , 자동화 도구입니다. Commix Injecton 이란 원격 코드 실행 이라고도 한다. 웹 사이트에서 이 공격에 취 약한 어플리케이션을 사용하면 공격자는 외부 입력 값으로 사용되는 파라미터를 이용해서 웹 사이트 호스팅 서버에 시스템 명령 또는 임의의 코드를 실행할 수 있다. 실습 다들 직업이아니면 취미로 삼으시고 다른 허가받지않는 사이트에 이용하는건 불법입니다 (5회차) 칼리리눅스 - skipfish (웹 보안 스캐너) 간단개념 Skipfish는 구글에서 만든 웹 보안 스캐너이다. C언어로 만들어져서 초당 2000개 이상의 요청이 가능하다. HTTP 핸들링에 최적화되어 있고 낮은 CPU 사용률을 보인다. 사용이 쉽고 오탐률이 적다. 웹 취약점 점검 정보수집 [실습] 모든 해킹 및 실습은 빈 홈페이지나 테스트 홈페이지에 사용하시길 바랍니다. (4회차) 칼리리눅스 Owsap-zap 실습 - 사이트 스캐닝하기 간단개념 ZedAttackProxy은 공개 소스 웹 응용 프로그램 보안 스캐너 처음 접하는 사용자와 전문 침투 테스터에 모두 사용 프록시 서버로 사용된다면 https를 사용하는 트래픽을 포함해서 이 서버 통과하는 모든 트래픽을 조작가능 저는 모의해킹연습사이트를 대상으로 한겁니다 해당 툴은 처음 사용하는 자와 전문 침투테스터가 모두모두 사용하는 유용한 툴인것 같고 분석은 분석일뿐 함부로 해석하여 악용하려고 들면 안될거같다 많이 응용하는 만큼 위험하고 유용한 툴은 아닐까싶다. (3회차) 칼리리눅스 - httrack 툴을 이용해서 홈페이지를 크롤링해보자 간단 개념 httrack 은 기본적으로 Web Scraping ( 웹 크롤링 ) 의 종류중 하나이며 웹 사이트에서 원하는 정보를 추출하는 방법이다. 링크 체크나 HTML코드 검증과 같은 웹 사이트의 자동 유지 관리 작업을 위해 사용한다고 합니다. (2회차) 칼리리눅스 - DVWA와 Burp Suite 로 침투 테스트 (칼리리눅스 해킹실습) 해당 실습으로 악용하거나 다른 타 사이트에 테스트 하는 행동은 엄연한 범죄입니다. 안녕하세요 IT초보 멍멍웅입니다. 오늘은 우분투웹서버를 이용한 칼리리눅스의 툴을 이용해서 비밀번호를 해킹하는 방법을 알아보도록하겠습니다. 실습준비물 1. 칼리리눅스에 FoxyProxy 와 Burp Suite 를 준비해줍니다 [설치시 타입은 HTTP 포트는 8080 2. 우분투의 터미널에서 'ifconfg'로 이더넷 아이피주소를 찾습니다. 실습순서 (설명은 이미지 아래에 있습니다) 참고: DVWA의 초기 로그인의 default 는 아이디는 admin 비밀번호는 password 입니다. (FoxyProxy가 켜져있으면 끄고 로그인) 참고 : 보안레벨을 지정하는 곳으로 높게 잡을 경우 Brute force 하는 의미가 없음 참고.. (칼리리눅스) 가상머신에 칼리리눅스(데비안)설치하기 서론 가상 머신 버츄얼박스를 이용한 가상 OS 를 구축하는 환경을 만들어 보도록하겠습니다. 준비물 과정 처음에 설치를 하면 해당화면처럼 한글이 깨져보이는 현상이있는데 이 현상에 대해서도 포스팅을 하겠습니다. 한글깨질때 해결하는방법♥ https://dw-forensic.tistory.com/entry/%EB%8D%B0%EB%B9%84%EC%95%88%EC%B9%BC%EB%A6%AC%EB%A6%AC%EB%88%85%EC%8A%A4-%ED%95%9C%EA%B8%80%EA%B9%A8%EC%A7%90-%ED%95%B4%EA%B2%B0-3000%EB%A7%8C%ED%81%BC%ED%95%B4%EA%B2%B0?category=853107 이전 1 다음
