| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- 모드 설정
- StringBuilder
- 웹해킹
- stock price
- 정보시스템
- 써니나타스
- metasploit
- meterpreter
- ToDoList
- SQL Injection
- todo List
- programmers
- wpscan
- 취약점진단
- Suninatas
- hackerrank
- leetcode
- SQLMap
- Router
- java
- 모의해킹
- CSRF
- study
- 미터프리터
- 취약점
- HTML Injection
- algotithm
- Algorithm
- todo
- 라우터
- Today
- Total
목록IT Security (35)
보안 / 개발 챌린저가 목표
Metasploit
▶ Metasploit - 해킹이나 보안 취약점 분석에 많이 쓰이며, 실제 보안 취약점 테스트를 위해 H.D. 무어에 의해 개발되었다. - Exploit(취약점)과 관련된 모든 메타 데이터를 관리하는 프레임워크. - 방대한 취약점 DB를 이용하여 악성 코드를 작성하여 배포한다. - 취약점이 노출된 시스템은 악성 코드로 침입자에게 접근권한을 주고 침입자는 시스템에 접속하여 장악하게 된다. ▽ 구성 💡 Library - 개발에 필요한 API와 기본 클래스 등을 제공. 💡 Interface - 메타스플로잇에 대한 사용자 인터페이스를 제공. 💡 Module - 다양한 공격 형태의 기본 프로그램을 제공. ▼ 기능 - Metasploit의 핵심 기능인 Payload의 주요 7가지 기능 1️⃣ VNC 인젝션 - VN..
Scan
▶ Scan - 해킹 전에 시스템의 상태를 파악할 수 있는 도구가 있다면 좀 더 쉽게 목적을 이룰 수 있다. § 스캐닝 도구는 서버의 상태, 사양, 취약점 및 각종 정보를 쉽게 탐색하게 해준다. ☞ 이러한 도구를 실제 서버에 사용한다는 것은 곧 불법 해킹이기 때문에 사용에 신중을 기해야 한다. ▽ WPScan - 워드프레스 관련 취약점을 점검하는 도구. - 기존의 취약점을 데이터베이스화하여 사용자에게 취약 정보를 제공. - # wpscan --url http://192.168.0.132/wordpress --enumerate p ① # wpscan --url http://192.168.0.132/wordpress -enumerate u 를 이용하여 워드프레스의 사용자 정보 확인 가능. ② Kali에서 제..
모의해킹 실습 (5)
▶ 이미지 웹쉘 업로드 공격 ① png 파일을 php 파일로 인식하게 하기 $ cd /etc/apache2 $ sudo gedit apache2.conf 파일을 열어 /var/www 를 검색하여 다음과 같이 수정. ② .htaccess 파일을 작성 § $ cd /etc/apache2 § $ sudo gedit apache2.conf ③ 리눅스는 설정이 바뀌면 다시 한 번 시작해주어야함(재시작) § $ sudo a2enmod rewrite § $ sudo service apache2 restart ④ xss.png 파일 안에 script 구문을 넣겠다는 의미의 python 명령어 작성하기 ☞ github.com/vavkamil/xss2png 참고! * PHP 단일 - 한줄 웹쉘 코드 예시 ⇒ 0에 파라미터..
LFI & RFI
▶ LFI & RFI - LFI & RFI § Local과 Remote에 대한 File Inclusion(파일 포함)을 의미. § 해킹으로 말하자면, LFI와 RFI를 이용하여 웹 서버에 악성 코드를 넣는 기법. § ex) PHP의 include 함수 → 특정 파일을 포함시켜 스크립트를 실행. § LFI : 서버에 FTP나 자료실로 악성 코드를 업로드시켜 include 시킴. § RFI : 외부 서버의 악성 코드를 불러와 include 시킴. Injection (SQL Injection) - 외부에서 특정 코드를 주입하는 방식의 해킹 기법 - SQL 문구를 강제로 주입하여 특정 SQL 구문으로 해킹하는 방법 Inclusion (File Inclusion) - 내외부에서 특정 파일을 포함시키는 방식의 해킹..
SQL Injection
SQL Injection을 더 알고 싶다면~ hammieunseo.tistory.com/32 모의해킹의 이해 (2) ▶ SQL Injection - SQL Injection 이란 ? § 사용자의 입력 값으로 웹 사이트 SQL 쿼리가 완성되는 약점을 이용하며, 입력 값을 변조하여 비정상적인 SQL 쿼리를 조합하거나 실행하는 공격. § 개발자� hammieunseo.tistory.com ▶ SQL Injection - 가장 간단한 예 § 문자열에 입력하는 ' (싱글 쿼테이션) § 주석 처리에 사용하는 - (하이픈) 기호 ⇒ PHP에서는 ' (싱글 쿼테이션)의 취약점을 막도록 2가지 방법 지원 ⅰ) 함수 addslashes()를 사용하여 ' (싱글 쿼테이션)기호 앞에 (\)역슬래시 추가 ⅱ) php.ini의 ..
모의해킹 실습 (4)
▶ SQL Injection 응용 - 모의해킹 사이트 환경 [Ubuntu Wordpress] http://192.168.0.104 [Window XP] http://192.168.0.133 ❓ Quiz 1 ❓ SQLi 취약점이 있는 파라미터(인자) 확인하고 sqlmap을 이용하여 관리자 ID / PW를 출력해보기. https://eliez3r.github.io/post/2019/10/25/study-db-sqlmap.html ① 취약한 파라미터 찾기 ☞ g를 검색했을 때 파라미터가 s로 넘어간다. 하지만 취약 파라미터는 아님. ☞ 댓글을 남길 때 넘어가는 파라미터 중, unapproved가 있다. 하지만 취약 파라미터 아님. ☞ 참 값을 넣어주면, ☞ 1(true)이 나온다. ☞ 마찬가지로, 거짓 값을 ..