잉카콜라 잉카콜라

글쓰기 버튼을 클릭하면 글을 작성하는 페이지로 이동하도록 해 주었다 글쓰기 버튼 만들기 42 ~ 44 글쓰기 버튼을 클릭하면 글을 작성하는 페이지인 write.php로 이동하도록 해 주었다 오른쪽 아래에 만들어 주었으며 색상은 파란색으로 해 주었다 글 작성 페이지 만들기 1 ~ 6 헤더 부분과 데이터베이스 연결 부분을 가져왔다 8 ~ 10 작성 내용을 write_check 로 post 방식으로 보내어 데이터베이스에 추가하도록 해 주고 위치를 중간으로 만들었다 12 ~ 31 제목, 내용, 비밀번호를 입력하는 공간을 만들어주었다 33 ~ 35 저장버튼을 누르면 위에 작성한 내용이 전송되도록 해 주었다 성공적으로 완성되었다

가상머신에서 실행한 칼리 리눅스와 내 컴퓨터인 M1 Mac 간에 복사 붙여 넣기가 안 돼서 해결했다 우선 가상머신으로는 UTM을 사용하였다 설정에 공유로 이동하여서 클립보드 공유 활성화를 체크해주고 저장한다 ( 아래 적혀진 도구가 내가 사용하려는 리눅스에 설치되어 있어야 사용이 가능하다 ) 터미널을 연 후 아래의 명령어를 순서대로 입력하면 클립보드 공유가 정상적으로 되어 복사 붙여 넣기가 가능해진다 sudo apt update# 업데이트 진행 sudo apt install spice-vdagent# 도구 설치 sudo systemctl start spice-vdagentd.service# 도구 시작하기 sudo systemctl enable spice-vdagentd.service# 도구 항상 사용하도록..

DVWA - Brute Force ( Low ) 입니다 개요 이 포스팅에서는 DVWA(Damn Vulnerable Web Application) - Brute Force, Low 단계 실습을 진행하면서 공부했던 내용에 대한 내용을 정리해 보았고, 모두 본인이 소유한 가상머신에서 실습이 이루어졌습니다 실습환경 M1 MacBook Air 16G RAM UTM - 가상머신 Kali Linux 2023.1 - Apple Silicon (ARM64) 목차 1. 취약점 설명 및 분석 - 소스코드 분석, Brute Force, SQL Injection, 관리자 페이지 2. wfuzz 사용방법 및 실습 3. 대응방안 4. 툴 제작 취약점 설명 및 분석 소스코드 분석 // 위치 : /var/www/html/dvwa/vu..

Segfault - CSRF 3 문제 풀이입니다 admin3 계정의 비밀번호를 변경하는 문제이다 위와 같은 페이지로 이동한 뒤 로그인을 해 주었다 비밀번호를 변경하니 변경할 때 csrf_token이 같이 전달되는 것을 확인할 수 있었다 우선 게시판에 script를 작성하고 게시해보았다 정상적으로 작동한다 mypage에서 로그인이 된 상태를 이용하여 코드를 작성하였다 마이페이지에서 csrf_token을 가져와서 비밀번호 변경을 시도한다 비밀번호 변경에 성공하였다

Segfault - CSRF 2 문제 풀이입니다 CSRF 공격으로 비밀번호를 바꾸는 것이 목적이다 문제 페이지로 이동하면 위와 같은 페이지가 나온다 회원가입을 하고 비밀번호변경을 해 보았다 위와 같이 변경요청이 보내지고 POST 방식만 가능하다 를 작성하여 글을 게시하였는데 정상적으로 작동함을 확인했다 위와 같이 form 태그와 script 태그를 작성해서 비밀번호 변경을 시도해 보았다 글을 클릭하니 게시물을 확인할 수 없었고 비밀번호 변경 알림 창이 뜨면서 로그인페이지로 이동을 하였다

Segfault - CSRF 1 문제 풀이입니다 문제는 위와 같다 들어가니 로그인과 문의 게시판이 보인다 우선 새로운 계정으로 회원가입해 준다 회원가입하고 로그인하니 위와 같은 페이지가 나온다 마이페이지에서 비밀번호를 변경해 보았다 변경은 성공적으로 되었고 비밀번호가 그대로 전송되고 있음을 확인할 수 있었다 비밀번호가 그대로 발견됨을 이용하여 자바스크립트 코드를 작성 후 글을 등록하였다 글을 클릭하니 위와 같은 화면이 나타났다 글을 클릭하고 나니 비밀번호를 변경하는 요청이 나도 모르게 전달이 되어 변경된 비밀번호로 로그인해 보니 로그인에 성공하였다

DVWA - Vulnerability:Brute Force, low 문제풀이 입니다 정보수집, 공격방법 선택 난이도를 low로 설정해주고 submit을 눌러 제출해준다 아이디는 admin, 비밀번호로 1234를 하니 위와 같이 실패하였다 아이디를 admin으로, 비밀번호를 password로 하니 위와 같이 사진이 뜨면서 로그인에 성공했다 이미지의 링크를 열어 이동하였다 링크 마지막에 admin.jpg 를 삭제하고 전송해보았다 admin.jpg 말고 다른 사진들이 보인다 이 사진들은 로그인에 성공했을때 나오는 사진들로 추정이 된다 wfuzz를 사용하였고 SYNOPSIS에 어떻게 사용해야하는지 방법이 나와있다 2번째, 3번째 등등 사용해야 할 경우 FUZ2Z, FUZ3Z 와 같이 사용하라고 한다 나는 bru..

명령어를 실행하던 도중 아래와 같은 에러메시지가 발생하였다 /usr/lib/python3/dist-packages/wfuzz/_ init _•p:34: UserWarning: Pycurl is not compiled against Openssl. Wfuzz might not w ork correctly when fuzzing SSL sites. Check Wfuzz's documentation for more information. 에러메시지는 위와 같이 발생하였고 원래 설치되어있던 것을 제거후 다시 설치해주었다 먼저 python3-pycurl을 삭제해준다 다음으로 libcurl4-openssl-dev를 설치해준다 마지막으로 문제가 되어서 삭제했던 파일을 다시 설치해준다 sudo apt -- purge ..