| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
- 2018
- Reflected XSS
- beebox
- 파이썬
- vulnhub
- elasticsearch
- Docker
- logstash
- foremost
- Suninatas
- SQL Injection
- kibana
- igoat
- NTFS
- diva
- lord of sql injection
- frida
- CTF-d
- otter
- 인시큐어뱅크
- Strings
- Volatility
- ctf
- Openstack
- ESXi
- MFT
- InsecureBank
- 안드로이드
- XSS
- base64
- Today
- Total
목록무작위 대입 공격 (2)
Information Security
FridaLab - Bruteforce check07Pin() then confirm with chall07()
uk.rossmarks.fridalab.MainActivitiy 내부에 chall07() 메서드가 존재하며 내부에 if, else문이 있다. 어떤 메서드를 호출했을 때 값이 참이 되면 7번째 값을 1로 setting 하여 빨간색 글씨를 초록색으로 변화시킨다. (문제 chall07() 메소드에서 String 자료형을 받아온 것을 if문 내부에 있는 check07Pin() 메서드를 호출할 때 인자 값으로 주어지고 있다. 이 값을 true로 만들어 보자. [Ctrl] 버튼을 누른 상태에서 challenge_07을 클릭하면, 해당 클래스로 이동할 수 있다. 클래스 내부에 check07Pin()이 동작한다. 인수로 받아온 String 값이 chall07과 같으면 true를 반환한다. chall07 값은 ..
Broken Auth – Password Attacks
Broken Auth – Password Attacks - 사용자에 대한 계정 정보를 획득하기 위하여 비밀번호로 입력 가능한 모든 문자 조합을 입력하여 사용자의 계정과 비밀번호가 일치할 때까지 대입하는 공격이다. Level (Low) 버프스위트에 무작위 공격을 시도하려고 Send to Intruder 메뉴로 들어갔다. Clear 버튼을 누른 후 bug 부분만 드래그한 후 Add 버튼을 클릭했다 Brute forcer 공격하기 전에 패스워드 길이를 3으로 설정을 했다. aaa 부터 하나씩 대입하며 공격하는 것을 알 수 있다. 대응방안 아이디와 비밀번호를 알고 있어도 CAPTCHA를 입력하여야 한다. 무차별 대입 공격이 불가능하는 것을 알 수 있다.