| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
- igoat
- Docker
- Suninatas
- InsecureBank
- ctf
- NTFS
- 2018
- elasticsearch
- 파이썬
- XSS
- beebox
- ESXi
- 안드로이드
- diva
- Strings
- Openstack
- SQL Injection
- frida
- 인시큐어뱅크
- Reflected XSS
- Volatility
- kibana
- vulnhub
- CTF-d
- base64
- lord of sql injection
- logstash
- foremost
- MFT
- otter
- Today
- Total
목록보안 (3)
Information Security
메타스플로잇 GUI 환경 Kage 설치
그림 1-1처럼 https://github.com/WayzDev/Kage 파일 설치 및 yarn 명령어 설치 방법 그림 1-1에서 보이는 source.list.d 폴더 안에 있는 yarn.list 파일을 확인 그림 1-3처럼 yarn 설치 yarn 명령어를 입력해 설치하는 과정을 확인할 수 있다. 설치하는 과정에서 npm이 없다고 Error가 나는 것을 확인할 수 있다. apt-get 명령어로 npm을 설치 그림 1-6처럼 npm설치가 완료되면 다시 yarn 명령어를 입력하면 설치 완료된 것을 알 수 있다. yarn run dev 명령어로 실행시키면 error가 발생한 것을 알 수 있다. 그림 1-8에서 보이는 경로로 이동해서 확인하면 main.js만 있는 것을 확인할 수 있다. 그림 1-8에서 보이는 ..
Webhacking 4번 문제
그림 1-1을 보면 base64 인코딩 값과 패스워드 입력폼을 확인할 수 있다. base64 디코딩을 하면 그림 1-2 값을 얻을 수 있다. 16진수로 이루어져 있고 40자리의 해시 값이라는 것을 알 수 있다. 그림 1-3 처럼 SHA-1 함수로 복호화 했다. 그림 1-3처럼 복호화 했는 데 다시 40자리 해시 값이 나와 다시 한번 복호화를 해서 그림 1-4처럼 Password test 값을 얻을 수 있다.
WordPress Plugin Quizlord 2.0 - Cross-Site Scripting
XSS(Cross-Site Scripting) 게시판을 포함한 웹에서 자바스크립트같은 스크립트 언어를 삽입해 개발자가 의도하지 않은 기능을 클라이언트측을 대상으로 하는 공격 실습 그림 1-1 처럼 Quizlord 2.0 플러그인을 활성화 시킨다. 그림 1-2 처럼 Add a quiz 메뉴에서 Title 부분에 test"> 스크립트 구문을 삽입한다. 그림 1-3처럼 XSS 스크립트 구문이 동작하는 것을 알 수 있다. 그림 1-4는 Quizlord 소스코드이다. title 부분에 이스케이프 처리하지 않는 것을 알 수 있다. 대응방안 그림 1-5는 그림 1-4는 다르게 htmlentitles() 함수를 넣어 XSS 필터링을 해줄 수 있다. 그림 1-6을 보면 8번 게시물에 XSS 필터링이 되는 것을 알 수 있다.