| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- blind sql injection
- Pwndbg
- github
- document
- sql injection
- element 조회
- htmlspecialchars
- 백준 알고리즘
- lord of sql injection
- 함수
- 백준 파이썬
- python
- xss game 풀이
- window
- burp suite
- 객체
- 사칙연산
- 조건문
- jQuery
- 자바스크립트
- IF문
- property
- 배열
- 김성엽 대표님
- object
- 파이썬
- 포인터
- suninatas 풀이
- xss game
- 메소드
- Today
- Total
목록웹해킹/Bee-Box (17)
power-girl0-0
iFrame Injection
iFrame이란? HTML문서 안에서 또 다른 HTML 문서를 출력해주는 태그이다. iFrame Injection이란? - iFrame을 이용하여 어느 곳이든 인젝션 공격이 가능하다. - 독립적으로 이용할 수 있어서 HTML Injection공격에 자주 사용된다. - 주로 악성코드를 삽입후 사이즈를 0으로 설정하여 숨기는 방법을 사용한다. 1. 해당 페이지의 파라미터를 확인해보았다. 파라미터에 값이 출력되는 것을 보아 get방식이라는 것을 알 수 있다. 해당 페이지에 robots.txt를 불러와 넓이와 높이가 250 사이즈로 출력하라는 구문으로 iframe태그를 사용한 것으로 추측된다. 2. 추측이 맞는지 robots.txt 대신에 로그인 url을 입력하고 사이즈를 변경해 보았다. 사이트 안에 login..
HTML 인젝션 - 저장기법(Blog)
저장기법이란? 악의적인 HTML태그를 데이터베이스에 저장하여 저장된 태그 내용을 확인한 사용자의 PC에 HTML 태그가 실행되게 하는 공격이다. 1. low (1) h1태그를 사용하여 hello문자를 전송해보았다. - h1태그가 사용되어 출력되는 것을 확인 (2) 앞에서 반사기법의 post 코드를 넣어보았다. Firstname에 aa를 입력하고 Last name에 bb를 넣어서 Go를 눌러 전송해보았다. 그 결과 반사기법의 POST페이지로 이동후 welcome aa dd가 출력되는 것을 확인할 수 있다. 2. medium (1) medium으로 바꾸자 HTML태그를 문자열로 출력하는 것을 확인할 수 있다. (2) 간단히 h1태그만 url인코딩으로 전송해보았다. 그대로 문자열로 출력해주는 것을 확인할 수 ..
Bee-box를 window에서 사용하는 방법
안녕하세요-!! burp suite를 실습을 해보려고 하니 비박스를 window환경에서 사용하면 더 좋을 것 같아서 가져와봤습니다 ㅎㅎ ① 평소와 똑같이 bee-box가상머신을 열어줍니다. ② 터미널을 열어서 ip를 알아냅니다-!! ( 명령어 : ifconfig ) ③ window환경에서 explore에 ip주소를 그대로 입력해줍니다. ④ bWAPP를 누르면 가상머신과 똑같은 환경이 출력됩니다. ※ 주의 사항 : bee-box 가상머신이 켜있는 상태에서 해야 가능합니다.
window에 프록시 도구인 burp suite 설치하기
안녕하세요-!! 이번에는 프록시 도구인 burp suite를 설치해보록 하겠습니다. 그 전에 간단하게 용어 설명하고 넘어갈게용-!! 프록시(Proxy)란? 클라이언트와 서버 사이에서 데이터를 전달하는 서버입니다. Burp suite의 역할은? 클라이언트와 서버 사이의 HTTP 요청(request)과 응답(response)을 수정, 생성, 재사용할 수 있는 기능을 가지고 있습니다. 다음 기능을 이용하여 서비스 절차를 우회하거나 권한 상승을 통해 공격에 주로 활용됩니다. 이제 설치를 시작해 보도록 하겠습니당-!! burp suite를 설치전 burp suite는 자바를 기반으로 동작하는 프로그램이므로 설치전 자바 JDK를 설치해야합니다. ① 오라클 공식 홈페이지에서 본인 컴퓨터 환경에 맞는 JDK를 다운받습..
HTML 인젝션 - 반사기법(GET & POST)
안녕하세요-!! 오늘은 드디어 실습을 해보는 날입니다. 이번 글에서는 HTML인젝션 중 반사기법에 대해 실습할 예정입니다-!! 혹시 이론을 보지 못하신 분이 계시다면 이전 글을 참고해주세요-!! >. 그 결과 파라미터에 입력한 값이 출력되는 것을 확인할 수 있었으며 하단 끝에 welcome 뒤로 입력값이 그대로 출력되는 것도 확인할 수 있습니다. ④ 이번에는 html태그값을 넣어서 실행되는지 확인해보았습니다. (first : hello / last : ) -> 결과 : HTTP태그가 삽입되어도 정상으로 인식하고 삽입된 HTTP태그를 출력해줍니다. ==> 이와 같은 상황이 발생시 악성코드를 삽입하여도 정상으로 인식하고 출력해줌으로써 사용자를 해킹할 수 있습니다. 2. medium ① level을 mediu..
Bee-Box 실습 로그인
안녕하세요-!! bee-box실습전 간단하게 로그인 하는 법과 어떻게 접속하는지에 대해서 알려드리려고 왔습니다-!! 정말 간단해요-!! 눈 깜짝할 사이에 끝나니 눈깜박 조심하시고 출발---!! ① bee-box가상환경에서 bWAPP - Start에 접속합니다. ② 다음 화면으로 접속되면 로그인을 합니다.( 기본설정 -> 아이디 : bee / 비밀번호 : bug ) * 단계를 설정하여 로그인 할 수 있습니다. ( low, medium, high ) 이상으로 bee-box 로그인 하는 방법에 대해서 알아보았습니다. 다음으로는 실습을 갖고 돌아올게용-!! 안녕~~🖐
HTML 인젝션(Injection) 이론
안녕하세요-!! 이번에는 HTML 인젝션에 대해서 알아볼거예요😎 신나죠~~?? 저도 너무 너무 신나요-!! 오늘은 어떤 지식을 보따리에 담을지 다함께 출발~~!! 그전에-!!! Injection에 대해서 알아야겠죠?? 간단하게 알고 HTML인젝션에 들어가 보아요>.
Bee-box 한글 깨짐 해결법
안녕하세요-!! 오늘은 bee-box를 깔았지만 한글이 깨져서 사용하지 못하시는 분들을 위해 달려왔습니다~~슝~~ 다음 사진과 같은 현상이 일어나면 계속해서 저를 따라와주세요-!! come on~ ① Bel에서 오른쪽 마우스를 눌러 keyboard preferences를 클릭합니다. ② layout에서 add를 클릭합니다. ③ 다음과 같이 원하시는 언어를 설정후 add를 눌러줍니다. ④ 설정한 언어가 생긴 것을 확인하고 close를 눌러줍니다. ⑤ 한글 깨짐 해결-!! 이제 공부할 수 있는 환경이 완성되었습니다-!! 여기까지 따라오신 분들은 정말 최고-!최고-!!입니다😎 앞으로도 포기하지 마시고 같이 고고씽합시당~~^_^