잉카콜라 잉카콜라

DVWA - Vulnerability: Command Injection, low 문제풀이 입니다 정보수집, 공격방법 선택 ip 주소를 입력하고 submit을 누르는 화면이 나타난다 우선 구글의 DNS 주소인 8.8.8.8 을 입력하고 Submit을 눌러보았다 시간이 조금 걸리다가 위와 같은 결과를 아래에 보여준다 localhost ip 인 127.0.0.1 을 입력하고 전송해 보니 실행결과 모두를 화면에 보여주고 있다 실행결과에 대한 모든 내용을 화면에 보여주고 있어서 127.0.0.1 뒤에 ls 명령어를 입력하고 전송해 보았다 Command Injection 그냥 넣어보았던 ls 명령어가 정상적으로 작동하면서 실행결과를 그대로 화면에 보여준다 상위 폴더의 목록을 알기 위해 위와 같이 시도하였고 성공적인..

DVWA - Brute Force ( Low ) 입니다 개요 이 포스팅에서는 DVWA(Damn Vulnerable Web Application) - Brute Force, Low 단계 실습을 진행하면서 공부했던 내용에 대한 내용을 정리해 보았고, 모두 본인이 소유한 가상머신에서 실습이 이루어졌습니다 실습환경 M1 MacBook Air 16G RAM UTM - 가상머신 Kali Linux 2023.1 - Apple Silicon (ARM64) 목차 1. 취약점 설명 및 분석 - 소스코드 분석, Brute Force, SQL Injection, 관리자 페이지 2. wfuzz 사용방법 및 실습 3. 대응방안 4. 툴 제작 취약점 설명 및 분석 소스코드 분석 // 위치 : /var/www/html/dvwa/vu..

DVWA - Vulnerability:Brute Force, low 문제풀이 입니다 정보수집, 공격방법 선택 난이도를 low로 설정해주고 submit을 눌러 제출해준다 아이디는 admin, 비밀번호로 1234를 하니 위와 같이 실패하였다 아이디를 admin으로, 비밀번호를 password로 하니 위와 같이 사진이 뜨면서 로그인에 성공했다 이미지의 링크를 열어 이동하였다 링크 마지막에 admin.jpg 를 삭제하고 전송해보았다 admin.jpg 말고 다른 사진들이 보인다 이 사진들은 로그인에 성공했을때 나오는 사진들로 추정이 된다 wfuzz를 사용하였고 SYNOPSIS에 어떻게 사용해야하는지 방법이 나와있다 2번째, 3번째 등등 사용해야 할 경우 FUZ2Z, FUZ3Z 와 같이 사용하라고 한다 나는 bru..