잉카콜라 잉카콜라

작성된 게시글을 수정할 수 있도록 만들었다 글 수정하기 - 사용자 기본적인 글 작성페이지와 같고 15번 줄에 write_fix.js 파일을 추가해 주어 삭제 시 사용하도록 해 주었다 45 ~ 49 글 작성페이지에서 저장버튼을 삭제하고 목록, 수정, 삭제를 만들었다 목록은 왼쪽으로, 수정과 삭제는 오른쪽으로 위치시켰다 글 수정하기 - 서버 7 ~ 17 글 작성만을 확인하였지만 이곳에 idx 정보가 있다면 글을 수정하는 것이므로 수정하도록 글의 정보를 가져오도록 했다 19 ~ 23 만약 글의 정보인 idx 가 있다면 글에대한 정보를 가져오도록 한다 25 ~ 40 입력한 비밀번호가 일치한다면 글을 수정하고 아니라면 글을 수정하지 못하도록 했다 모두 정상적으로 작동한다

게시판 목록에서 게시글의 제목을 클릭하면 해당 게시물을 볼 수 있도록 했다 글 작성하기 7 ~ 17 사용자의 세션과 글 작성 시 필요한 요소들을 포함시켜 주었다 19 ~ 28 게시글을 작성하기 위한 SQL 질의문을 만들어 실행시키고 게시판으로 이동하도록 했다 모두 test1234로 하고 저장버튼을 누르니 정상적으로 글이 작성되었다 게시글 보기 41 ~ 42 게시글의 제목을 클릭하면 작성된 게시글을 볼 수 있도록 하였고 파란색글자와 아래 밑줄표시를 제거해 주었다 왼쪽 하단에 정상적으로 이동하는 링크가 보인다 6 ~ 11 게시글의 정보를 가져온다 18 ~ 31 제목과 내용을 화면에 보여주고 수정버튼과 목록버튼을 추가했다

DVWA - Command Injection ( Low ) 입니다 개요 이 포스팅에서는 DVWA(Damn Vulnerable Web Application) - Command Injection, Low 단계 실습을 진행하면서 공부했던 내용에 대한 내용을 정리해 보았고, 모두 본인이 소유한 가상머신에서 실습이 이루어졌습니다 실습환경 M1 MacBook Air 16G RAM UTM - 가상머신 Kali Linux 2023.1 - Apple Silicon (ARM64) 목차 1. 취약점 설명 및 분석 - 소스코드 분석, Command Injection 2. Command Injection 실습 3. 대응방안 4. Reverse Shell 취약점 설명 및 분석 소스코드 분석 // 위치 : /var/www/html..

DVWA - Vulnerability: Command Injection, low 문제풀이 입니다 정보수집, 공격방법 선택 ip 주소를 입력하고 submit을 누르는 화면이 나타난다 우선 구글의 DNS 주소인 8.8.8.8 을 입력하고 Submit을 눌러보았다 시간이 조금 걸리다가 위와 같은 결과를 아래에 보여준다 localhost ip 인 127.0.0.1 을 입력하고 전송해 보니 실행결과 모두를 화면에 보여주고 있다 실행결과에 대한 모든 내용을 화면에 보여주고 있어서 127.0.0.1 뒤에 ls 명령어를 입력하고 전송해 보았다 Command Injection 그냥 넣어보았던 ls 명령어가 정상적으로 작동하면서 실행결과를 그대로 화면에 보여준다 상위 폴더의 목록을 알기 위해 위와 같이 시도하였고 성공적인..

PortSwigger - Basic SSRF against the local server 문제 풀이 입니다 로그인 후 중간에 Access the lab 버튼을 클릭하여 문제 페이지에 접속한다 여러가지 이미지가 있는데 아무거나 1개 클릭하여 들어간다 맨 아래 check stock 버튼을 눌러봤다 요청 내용을 보니 위와 같이 나와있고 Api 를 사용하고 있다 문제의 제목이 SSRF 이므로 이 Api를 이용하도록 한다 이 요청을 이용하도록 한다 처음 문제 사이트로 접속할때 나와있었던 localhost/admin 으로 주소를 입력하고 전송해 보았다 위와 같이 정상적으로 접속이 되었다 delete 링크를 누르면 삭제가 되도록 되어있다 삭제 링크를 입력후 다시 전송해 보았다 전송하고 다시 localhost/admi..

Segfault - CSRF 2 문제 시나리오 작성입니다 사실 투표이벤트를 진행한다고 하면서 구글 폼 링크에 접속하도록 하는 것이 원래 목표였으나 현재 시간이 없어서 그냥 이곳에서 아이디를 입력하여 전송하도록 해 주었다 현재 자기 자신의 아이디를 입력함으로써 아이디와 비밀번호 모두 탈취할 수 있다 요청은 정상적으로 도착한다

Segfault - CSRF 1 문제 시나리오 작성입니다 비밀번호 클릭한 이용자들의 비밀번호를 내가 아는 비밀번호로 강제로 바꾸고 사용자의 세션정보를 획득한다 게시글을 클릭하면 위와 같이 나오고 이용자들은 24시간 동안 기다리다가 24시간 이후에 문의를 넣을 가능성이 많아진다 이용자들의 정보로 사이트에 로그인하여 내가 강제로 바꾼 비밀번호로 인증을 하여 나만의 비밀번호로 다시 바꾸든가 다른 행동을 한다

기존에 칼리 리눅스를 쓰다가 명령어를 잘못입력해 버려서 돌아올 수 없는 강을 건넜다 그래서 기존에 쓰던친구를 삭제하고 다시 설치해 주었다 가상머신 UTM은 설치되어 있으므로 Kali Linux를 다시 설치해 주었다 Virtual Machines를 클릭 M1 전용 Apple Silicon (ARM64) 를 설치해 주었다 기존에 있던 칼리 리눅스를 삭제해 주었다 그리고 위에 + 버튼을 눌러 새로운 가상머신 등록을 진행한다 Virtualize 클릭 칼리 리눅스의 운영체제는 리눅스이므로 Linux 클릭 Continue 클릭 Continue 클릭 저장공간은 최소 30GB로 해줘야 한다 공유할 폴더가 있다면 탐색을 눌러서 해주고 없다면 Continue 클릭 이름 입력 후 저장 클릭 새로운 가상머신이 나타났다 마우스..