반응형 해킹/DVWA29 DVWA 실습 2. Command Injection (Medium) Objective Remotely, find out the user of the web service on the OS, as well as the machines hostname via RCE. RCE로 호스트 이름을 찾는 것이 목표이다. https://arch7.net/286 를 참고하면 윈도우에서는 'hostname' 명령어로 호스트(PC)의 이름을 알 수 있다고 한다. 인코딩 문제로 다시 한글이 깨져서 나오는데, 지난 번에 말한 방법으로 한글 인코딩을 시켜주면 잘 보인다. Korean (EUC-KR)도 되고, Korean 으로도 되었다. 지난번 처럼 google.com && hostname 를 입력하면 아래와 같이 에러가 뜬다. 그러나 || hostname 를 입력하면 ping 명령어에 대한 에러.. 2022. 5. 24. DVWA 실습 1. Brute Force (Medium) Objective Your goal is to get the administrator’s password by brute forcing. Bonus points for getting the other four user passwords! 어드민 계정의 비밀번호를 찾는 것이 목표이다. 다른 4명의 유저에 대한 계정도 찾아보는 것이 추가 목표이다. 이번에도 burp suite intruder 기능을 이용하여 사전 공격을 진행하였다. 자세한 내용은 아래와 동일하다. 2022.05.18 - [해킹/DVWA] - DVWA 실습 1. Brute Force (Low) Low와 동일하게 admin/password가 ID/PW였다. Low와 무엇이 달라진 것인지 모르겠어서, 설명서를 참고하였다. Low Level The.. 2022. 5. 24. DVWA 실습 14. JavaScript (Low) Objective Simply submit the phrase "success" to win the level. Obviously, it isn't quite that easy, each level implements different protection mechanisms, the JavaScript included in the pages has to be analysed and then manipulated to bypass the protections. 소스코드를 보면 입력값을 rot13 한 것을 md5 를 적용시킨 것이 토큰이 된다. 그 토큰이 success가 되어야 하는 것 같다. https://tools.dreamhack.games/cyberchef 을 이용해서 rot13, md5를 적용시켰다.. 2022. 5. 22. DVWA 실습 13. CSP Bypass (Low) Objective Bypass Content Security Policy (CSP) and execute JavaScript in the page. CSP를 우회하고, 자바스크립트를 실행하는 것이 목표이다. CSP는 XSS 공격 등을 할 수 없도록, 콘텐츠의 소스에 대한 보안 정책을 정해두는 것이다. CSP에 대한 속성과 값은 아래 블로그에 정리되어 있다. https://velog.io/@taylorkwon92/%EC%98%A4%EB%8A%98%EC%9D%98-TIL 위에 올려둔 불로그에 따르면 Javascript 등 웹에서 실행 가능한 스크립트에 대한 정책으로, 적혀 있는 도메인에 대하여서만 작동이 되도록 되어 있다. 에 대해서 자바스크립트로 하이라이팅하도록 설정하고 https://pastebin.co.. 2022. 5. 22. 이전 1 2 3 4 5 6 7 8 다음 반응형
