본문 바로가기

Webhaking/모의해킹3

Kali Linux, Metasploit 환경설정 Kali Linux Kali Linux에 들어가서 Setting - Network Adapter - NAT으로 설정한다. 밑에 Add로 Network Adater2를 추가하여 NAT으로 설정된 것을 Host-only로 변경한다. ip addr을 입력한다. File System - etc - network - interfaces를 클릭한다. 10~14줄에 적혀있는 내용을 적어준다. auto eth0 iface eth0 inet dhcp auto eth1 iface eth1 inet dhcp 저장 후, 터미널로 이동한다. systemctl restart networking 명령어를 입력하고 ip addr을 입력한다. 입력 후, firefox에서 인터넷 연결을 확인한다. 인터넷 연결을 확인한 후, apt-ge.. 2021. 11. 17.
[웹 해킹] SQL 인젝션 DVWA 클릭 Low 클릭 후 submit 1을 User ID로 제출했을 때 2를 User ID로 제출했을 때 ‘1’을 넣었을 때 sql 인젝션 공격이 가능하다는 것을 알 수 있다. -u 필수 옵션, sql 인젝션 취약점이 있는지 확인할 수 있는 url --Cookie 로그인 유지 -P 특정 파라미터 u 옵션에는 오류가 발생했던 페이지의 url - 큰 따음표 “ “로 감싸주기 - 중간에 ‘(%27로 인코딩 되어 나옴) 이부분은 삭제 --cookie에는 F12 -> 콘솔 -> document.cookie의 결과 값을 넣는다. -p에는 에러가 떴던 id이다. ip 파라미터가 취약하다고 하는 것을 볼 수 있다. --current-db: 현재 이용하는 데이터베이스의 이름 --dbs: 어떤 데이터베이스들이 있는지.. 2020. 11. 19.
[웹 해킹] PHP 취약점 공격 환경: 칼리 리눅스, VirtuaBox, metasploit 메타스플로잇에서 ifconfig 명령어를 통해 메타스플로잇의 ip 주소를 확인하였다. 이 ip 주소를 갖 고 칼리 리눅스에서 인터넷 창에 메타스플로잇 ip 주소를 입력한다. 이것은 메타스플로잇을 브라 우저로 접속한 것이다. ?-s를 추가하면 php 소스코드가 보인다. 취약점이다. CGI(Common Gateway Interface): 웹 서버와 외부 프로그램을 연결해주는 표준화된 프로토콜 - 웹 서버가 처리할 수 없는 정보가 웹 서버로 요청되면, 그 정보를 처리할 수 있는 외부 프로 그램을 호출하고, 외부 프로그램은 요청 받은 프로그램 파일을 읽어 HTML으로 변홖하는 단계를 거치고, 그 결과를 웹 서버가 받아와 웹 브라우저에게 전송하는 형태 .. 2020. 11. 19.