해당 실습으로 악용하거나 다른 타 사이트에 테스트 하는 행동은 엄연한 범죄입니다.
안녕하세요 IT초보 멍멍웅입니다.
오늘은 우분투웹서버를 이용한 칼리리눅스의 툴을 이용해서 비밀번호를 해킹하는 방법을 알아보도록하겠습니다.
실습준비물
1. 칼리리눅스에 FoxyProxy 와 Burp Suite 를 준비해줍니다 [설치시 타입은 HTTP 포트는 8080
2. 우분투의 터미널에서 'ifconfg'로 이더넷 아이피주소를 찾습니다.
실습순서 (설명은 이미지 아래에 있습니다)
참고: DVWA의 초기 로그인의 default 는 아이디는 admin 비밀번호는 password 입니다. (FoxyProxy가 켜져있으면 끄고 로그인)
참고 : 보안레벨을 지정하는 곳으로 높게 잡을 경우 Brute force 하는 의미가 없음
참고 : Brute Force란 전수 공격 이라는 뜻 모든 값을 넣어서 몇글자가되던 모든 경우의 수를 합해 언젠간 뚫는 해킹공격입니다.
침투할 Host의 IP가 맞는지 확인해줍니다
지금은 자신의 테스트홈페이지로 하기때문에 웹서버의 이더넷 IP 겠죠?
구문설명
1. Attack type : Cluster bomb 으로 설정 [ 우리는 아이디와 비밀번호 두개를 맞춰야하기때문에 ]
2. 공격하고자하는 구문을 명확히 지칭하기 위해서 Clear를 눌러줍니다
3. 침투테스트를 하고자하는 구문에 더블 클릭하고 ADD를 눌러줍니다 ( 입력한 아이디 1212와 비번 1212에 더블클릭하면 자동으로 블럭화됩니다)
4. 그럼 침투를 하고자하는 구문에 $ ~~~ $ 표시가 뜬걸 확인해줍니다 (해당 구문을 분석하겠다 이겁니다)
해당 매치 메뉴는 침투를했을때 나오는 문구를 기준으로 출력해주는것입니다.
그렇다면 저희는 알맞는 아이디와 비밀번호를 찾기위해서
로그인했을때 어떤 문구가있는지 봐야겠죠?
필수설명
로그인이 성공했을시 Welcome to the ~~~~~~~~ 문구가 나오는걸 확인할수있습니다.
그래서 Add를 눌러서 Welcome 을 추가해주면 Welcome 이 나오는 아이디와 비밀번호를 탐색시키고 매치시켜줍니다.
Payloads 메뉴에가서 Simple list 에 값을넣어줍니다
1은 첫번째인 아이디
2은 두번째인 비밀번호 겠죠?
만약에 a b c d 를 넣어준다면
abcd
adcb
bcad 이런식으로 모든 경우의 수로 검색해줍니다.
모든 경우의 수로 공격을 해주고 길이가 다른것과 Welcome이 표시된것으로 올바르게 매치된 아이디와 비밀번호를 알수있었습니다
소감 : 해당 툴로 모든 홈페이지의 비밀번호와 아이디를 알수있겠구나 생각이 들었고 아무리 전수 공격이라지만 무기한의 시간이 걸려 어떻게 해서든 해킹이 된다는 무서움을 가지고 있다고 생각을합니다.
이렇게해서 요새 모든 폼의 비밀번호가 특수문자 대문자 포함한 비밀번호로 하지않을까 생각됩니다.
실습일뿐 다른 홈페이지에 이용하는것은 실습연습이 아니라 범죄입니다.
'IT > 칼리리눅스 - 웹 해킹' 카테고리의 다른 글
| (6회차) 칼리리눅스 - commix [원격코드실행] 실습 (0) | 2020.04.26 |
|---|---|
| (5회차) 칼리리눅스 - skipfish (웹 보안 스캐너) (0) | 2020.04.26 |
| (4회차) 칼리리눅스 Owsap-zap 실습 - 사이트 스캐닝하기 (0) | 2020.04.26 |
| (3회차) 칼리리눅스 - httrack 툴을 이용해서 홈페이지를 크롤링해보자 (0) | 2020.04.26 |
| (칼리리눅스) 가상머신에 칼리리눅스(데비안)설치하기 (0) | 2020.04.04 |
