본문 바로가기

True knowledge exists in knowing that you know nothing. -Socrates-

전체 글135

los orge los 7번 (oreg)풀이 입니다. 소스 코드의 필터링은 크게 or and 를 제외 하면 문제가 될 만한 것은 없습니다. 소스코드를 보면 첫번 째로 쿼리를 날려서 반환값이 참이면 해당 아이디를 출력해줍니다. 이 부분을 이용해서 blind sqlinjection을 시도하면 되겠습니다. 반환 값이 참이기 때문에 ('1') 게스트라는 아이디를 출력해 줍니다. (or 우회 ||) 앞의 (id='guest' and pw='1') 을거짓으로 판단하게하고 || 을 수행하는 쿼리문 입니다. 블라인드 인젝션의 한 방법으로 %를 이용 했습니다. 이렇게 한글자씩 유추해 가면서 pw를 찾으면 됩니다. 참고로 (pw는 8글자 입니다.) pw 8글자를 다 찾으셨으면 pw=에 넣어주시면 됩니다.(참고로 &&를 url에 입력할 때.. 2016. 12. 6.

웹 스캔 Nmap 설치 및 사용법 - 웹 해킹 입문 - 에서 공부한 내용을 정리한 글입니다. (출처 아래) Nmap Nmap이란 웹 스캔 도구의 하나입니다. 네트워크 구성과 시스템 상태를 빠르게 파악한다.https://nmap.org/download.html#windows 에서 다운로드 받을 수 있다. 다운을 받고 nmap.exe 을 실행 시키니 아래와 같은 오류가 출력 됩니다. nmap 을 실행시키면 MSVCP120.dll 이 없어 프로그램을 시작 할 수 없다고 합니다. MSVCR120.dll도 없다고 뜨네요 윈도우의 경우C:\Windows\System 에 들어가셔서 이 파일을 다운 받고 넣어주시면 됩니다. nmap의 특정 옵션으로 상대방 서버에 기록을 남기지 않고 스캐닝을 할 수 있습니다. TCP 네트워크는 3 Way 핸드 셰이킹으로.. 2016. 12. 5.

LFI & RFI - 웹 해킹 입문 - 책 내용의 부분을 공부한 내용입니다. (출처 아래)- LFI & RFI는 Local과 Remote에 대한 File Inclusion(파일 포함)을 말합니다. LFI와 RFI 를 이용하여 웹 서버에 악성 코드를 넣는 기법이다. 가장 대표적인 PHP의 include 함수이다.이 함수의 역할은 특정 파일을 포함시켜 스크립트를 실행한다. 제 생각에는 LFI 는 서버에 존재하는 파일을 실행시키는 방법 같습니다. 책을 읽었을 때에는 파일을 업로드 하는 건 줄 알았습니다. file inclusion은 파일을 포함시켜 취약점을 공격하는 기법이다.로컬 파일 업로드 LFI (Local FIle Inclusion)원격 파일을 부르는 업로드 RFI (Remote File Inclusion) LFI 공격 .. 2016. 12. 5.

웹의 구조 (HTML , HTTP 개념) - 웹 해킹 입문 책을 보고 공부한 내용입니다. (출처 아래 명시)- 하이퍼 텍스트 웹이란 HTML을 사용하는 HTTP 서비스이다. 하이퍼 텍스트의 시작링크를 통해서 다른 사이트의 HTML문서에 접근하는 것으로 시작 되었다.HTML은 Hypertext Markup Language의 약자로 웹문서를 만들기 위한 언어이다. 여기서 하이퍼 텍스트라는 말이 나왔다. (HTML에서 하이퍼텍스트) HTTPHTML을 전송하기 위한 규약 HTTP가 전체 인터넷 프로토콜에서의 위치 응용 계층 (DNS, FTP, HTTP)전송 계층 (TCP,UDP,SCTP)네트워크 계층 (IP,ARP,RARP)링크 계층 (이더넷, WIFI, 토큰링 ,) 1) 응용 계층 웹 텔넷 FTP 등 특정 응용 서비스를 제공한다. 2) 전송 계층상위.. 2016. 12. 5.

웹의 개념 - 웹 해킹 입문 을 보고 공부한 것을 정리한 것입니다. (출처 아래 명시)- 1. 웹이란 ? 인터넷에 연결된 컴퓨터들을 통해 사람들이 정보를 공유할 수 있는 전 세계적인 정보 공간을 말한다. 인터넷에서 HTTP 프로토콜, 하이퍼텍스트, HTML 형식 등을 사용하여 그림과 문자를 교환하는 전송 방식을 말하기도 한다.-출처 - 위키 백과 2. 인터넷 이란 ? 통신망과 통신망을 연동해 놓은 망의 집합을 의미하는 인터네트워크(internetwork)의 약어인 internet과 구별하기 위해 Internet 또는 INTERNET과 같이 고유명사로 표기한다. 랜(LAN) 등 소규모 통신망을 상호 접속하는 형태에서 점차 발전하여 현재는 전세계를 망라하는 거대한 통신망의 집합체가 되었다.- 출처- 두산 백과 3. 인.. 2016. 12. 5.

웹 해킹 입문 책 웹 해킹 입문 (가상 환경에서 실습으로 익히는 기본 개념과 원리)책이 동아리에 도서로 있길래 공부해보기로 했습니다. 책은 이렇게 있표지가 되어 있습니다. 2016. 12. 5.

이전 1 ··· 9 10 11 12 13 14 15 ··· 23 다음

티스토리툴바