| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |
- dreamhack
- 순서도
- 리버싱
- 네트워크보안
- 비박스
- 해킹
- 네트워크
- 웹해킹
- Webhaking
- 알고리즘
- TCP
- 시스템해킹
- Web
- hacking
- 웹
- webhacking
- XSS
- reversing
- 소프트웨어
- 시스템
- bee-box
- WarGame
- 소프트웨어보안
- CodeEngn
- network
- 워게임
- 드림핵
- ftz
- 모의해킹
- System
- Today
- Total
목록분류 전체보기 (236)
Without a Break
[Webgoat] Stage 1: String SQL Injection
SQL Injection을 사용해서 올바른 패스워드를 사용하지 않고 Neville로 로그인하는 문제 'Neville'로 로그인을 시도해서 버프 스위트 proxy로 인터셉트 무조건적인 참인 1=1을 사용해서 모든 정보를 출력하도록 유도한다. Neville로 로그인 성공한 것을 확인할 수 있다. 프로필도 볼 수 있다.
[Webgoat] Numeric SQL Injection
모든 날씨 데이터가 표시되는 SQL 문자열을 주입하는 문제 station을 선택하고 Go! 버튼을 누르면 station의 정보가 출력된다. 버프 스위트 proxy를 사용해서 Go! 버튼을 누를 때 인터셉트를 하면, 위와 같이 station 이 보인다. 1=1 을 사용해 무조건적인 참을 유도해서 forward 하면 모든 날씨 정보를 출력할 수 있다.
[WebGoat] String SQL Injection
사용자 'Smith'의 이름을 사용해서 모든 신용카드 번호가 표시되는 SQL 문자열을 삽입하는 문제 Smith를 입력하면 Smith의 정보가 뜨는 것을 확인할 수 있다 SELECT * FROM user_data WHERE last_name = ' Smith' or '1'='1 '위와 같이 입력해주면 모든 신용카드의 정보를 출력할 수 있다.1=1 은 모든 문장이 참인 것을 의미한다. 즉, '사용자의 last_name이 Smith' 또는 '1=1' 무조건적인 참을 사용해서 모든 신용카드의 정보를 출력하도록 한다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
기초 정적 분석 - Lab01-04.exe
1) Virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가? 악성코드로 판단된다. 2) 패킹이나 난독화의 흔적이 있는가? 이유는? 파일이 패킹되어 있다면 언패킹하라 패킹되지 않은 파일로, Microsoft Visual C++로 컴파일되었음을 알 수 있다. 3) 이 프로그램은 언제 컴파일됐는가? 2019년 8월 30일 22시 26분 59초에 컴파일되었다. (UTC 기준) 4) 임포트를 보고 악성코드의 기능을 알아 낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가? 이 중 의심되는 몇가지를 분석해보면 다음과 같다. KERNEL32.dll 파일을 생성하고(CreateFile), 이동하며(MoveFile), 파일에 데이터를 쓴다(WriteFile). 디렉토리의..