mellifluous

안녕하세요 보람줄입니다 proxy를 사용하여 서버에 보내주는 요청을 가로채서 코드(데이터)를 수정해보겠습니다 이전 글https://leah.kr/83 burpsuite 실행 동의 Proxy -> Options 본인의 아이피인 루프백주소와 포트8080을 사용한다는 것 확인 Firefox 실행 설정 루프백주소와 포트번호 입력 Proxy -> Intercept 활성화가 되어있는지 확인 url 재입력 prxoy를 활성화를 한 뒤 주소창을 재입력 Proxy -> Intercept -> Headers 헤더에 들어간 후 User-Agent 의 값을 로 변경해줍니다 Forward 쿠키/캐시 삭제 만약 아무런 변화가 없다면 데이터를 삭제해줍니다 접속 후 모습 웹서버의 모든 정보들을 확인할 수 있습니다 allow_url_..

LFI 란 ? 웹 브라우저의 URL을 이용해 공격 대상 서버에 파일을 포함시키는 과정의 공격입니다 실습을 하기 위해 칼리(kali)와 메타스플로잇터블(metasploitable2)을 실행시켜줍니다 Kalifirefox http://meta & ( 메타스플로잇터블 아이피를 입력하셔도 됨 ) http://meta/index.php인터넷 창이 열리면 DVWA 를 눌러 접속해 줍니다 로그인 페이지ID : adminPW : password 보안레벨 낮추기 보안 레벨을 낮춰 웹페이지를 취약하게(LFI 취약점이 있는 코드) 만들어 연습을 해보겠습니다 File Inclusion 주소창에 일부러 오류를 내어 서버내에 있는 include.php파일의 경로를 확인할 수 있으며,View Source 를 통해 웹페이지의 보안이..

안녕하세요 보람줄입니다 dirb은 절대 실 사이트에 하면 안됩니다 우선 전에 같이 다운받은 Metasploitable2 를 실행시켜줍니다 그 후 Kali Linux를 켠 후 firefox http://meta &를 입력해 해당주소로 들어가줍니다 firefox http://meta & 여기서 Mutillidae 를 스캐닝 하여 아이디 비밀번호를 찾아 로그인까지 해보겠습니다 dirb -help dirb를 사용하기 위한 도움말 dirb http://meta/mutillidae /usr/share/dirb/wordlists/common.txt 에 의거하여http://meta/mutillidae 주소를 스캐닝한다는 뜻입니다 찾아와야 하는 내용이 없을 경우는 common.txt에 직접 추가해주어야합니다 Scanni..

안녕하세요 보람줄입니다 Maltego 다운로드 및 사용법에 대해 알아보겠습니다 말테고는 정보수집을 하기 위해 사용되며, 네트워크의 구조 및 이메일 등을 알 수 있고 사용자가 원하는대로 정보를 확인할 수 있습니다 kali maltego 실행시켜주면 버전을 선택 할 수있습니다 무료버전인 Community Edition 선택 email 입력 아이디가 없기 때문에 생성하기 위해 click here 을 눌러줍니다 아이디생성 아이디와 비밀번호를 입력한 뒤 가입하고 입력하신 이메일에 접속해 가입확인을 해줍니다 가입이 완료되었으면 뒤로가기를 눌러줍니다 방금 가입한 이메일주소와 비밀번호 입력 인증이 완료되었기 때문에 Next 마지막으로 Finish를 눌러주면 끝납니다 새파일을 만들어 줍니다 만들어 준 뒤 왼쪽에 얻어올 ..

안녕하세요 보람줄 입니다 홈페이지를 통한 방법과 그렇지 않은 방법으로 서브도메인을 확인해보겠습니다 https://whois.domaintools.com https://toolbar.netcraft.com/site_reporthttps://www.robtex.com 외에 더 많이 있지만 이런 홈페이지들을 통해 아래와 같이 서브도메인을 찾을 수 있습니다 그 다음 방법으로 웹사이트를 사용하지 않고 kali 를 통해 알아보겠습니다https://tools.kali.org/information-gathering/sublist3r 위의 링크에서 확인해 보시면 서브도메인을 찾는 방법이 친절하게 나옵니다 우선 kali에 접속해줍니다 git clone https://github.com/aboul3la/Sublist3r 서..

안녕하세요 보람줄입니다 복사붙여넣기를 할 때 필요한 툴을 다운받겠습니다 apt-cache search open-vm open-vm에 관련된 패키지목록을 찾아 출력해 줍니다 저는 복사 붙여넣기의 기능을 사용하려고 하기 때문에 vm-tools 를 받아줍니다 apt-get -y install open-vm-tools-desktop open-vm-tools 설치가 완료되면 init 6 명령어로 재부팅을 해줍니다재부팅이 완료되면 pc와 가상머신 사이에서 복사 붙여넣기가 가능해집니다 복사 ctrl+insert붙여넣기 shift+insert

안녕하세요 보람줄입니다 칼리 리눅스를 이용해여 metasploitable에 접속하여 침투테스트를 하기 위해 설치 및 네트워크를 설정해줍니다 [kali linux 설치법]https://leah.kr/66 설정 우선 어뎁터를 하나 추가시켜줍니다 내부망 끼리 연결하기 위해 host-only 로 만들고 kali에 접속합니다 로그인 ID : rootPW : toor 터미널 열기 cd /etc/network/interfaces.d 네트워크 설정을 하기 위해 cd 명령어로 위치를 이동해 줍니다 vi eth0 자동으로 아이피를 할당하라는 뜻입니다 vi eth1 192.168.1.120 아이피를 고정합니다 systemctl restart networking 네트워크를 재시작한 후 ifconfig 명령어를 통해 아이피를 ..

안녕하세요 보람줄입니다 가상환경에서 보안에 취약한 metasploitable을 침투하기 위해 다운 및 네트워크를 설정해줍니다 [metasploitable 설치 링크]https://leah.kr/65 설치가 완료 되었으면 실행시켜줍니다 초기 아이디와 비밀번호는 둘 다 msfadmin 입니다 sudo -s 는 슈퍼유저 권한을 가져오는 것이다비밀번호는 msfadmin vi /etc/network/interfaces 추가 eth0 은 자동으로 아이피 주소를 받아오고eth1 은 host-only 로 서로 내부망 끼리 통신하기 위해 스태틱으로 수동입력 해줍니다 /etc/init.d/networking restart 네트워크를 재시작 해줍니다 vi /etc/hosts 추가 meta, kali, beebox를 쉽게 아..

안녕하세요 보람줄입니다 bee-box 네트워크 설정을 해보겠습니다 설치가 되어있지 않은 분들은 bee-box 설치해주세요https://leah.kr/63 네트워크를 추가시키기 위해 설정에 들어감 외부와 통신하기 위해 NAT 로 변경해줍니다 내부망끼리 연결하기 위해 Host-only라는 네트워크를 추가해줍니다 그 후 bee-box에 접속해 키보드에 접속합니다 처음엔 영어나 한글이 나오지 않기 때문에 따로 설정해 주어야 합니다 벨기에는 Remove로 없애도 상관없습니다 한국어 선택 후 종료 네트워크 설정 비밀번호가 bug 이므로 입력 후 접속 Ethernet0, Ethernet1을 설정해줍니다 eth0 DHCP 설정 eth1 Static 설정 설정 후 종료해 주시구 터미널을 열어줍니다 sudo -s 로 루트..

안녕하세요 보람줄입니다 members area 웹페이지를 연동해 보겠습니다 웹페이지를 연동하기에 앞서 members area zip을 다운로드해줍니다http://www.webestools.com/ftp/ybouane/scripts_tutorials/php/members_area/members_area.zip 다운로드가 완료 되셨으면 리눅스로 옮긴 뒤 압축을 해제합니다https://leah.kr/61 ( 윈도우에서 리눅스로 파일 옮기기 ) unzip [파일명] mv [파일명] [이동할위치] mv 명령어를 이용하여 파일 위치를 /var/www/test로 이동시켜줍니다 이동 후 환경설정파일에서 index.php를 불러올 수 있게끔 적용시켜줍니다vi /etc/httpd/confhttpd.conf vi /var/..