지식 채우는 블로그

Hack Tools Hack Tools은 모의해킹을 할 때 사용가능한 여러 명령어를 모아놓은 툴입니다. Reverse Shell이나 XSS, SQL Injection에 사용 가능한 여러 명령어가 있습니다. 꼭! 사용은 개인 서버에서만 하시길 바랍니다. 타인 웹 서버에 했다간 큰일 납니다. (잘못된 사용에 대해 작성자는 책임지지 않습니다.) 핵툴은 b374k와 마찬가지로 사전 단계를 시행해야합니다. 사전 단계는 아래 링크에서 확인 바랍니다. https://snorlax1224.tistory.com/71 b374k 설치와 사용 방법 공부하다가 b374k라는 것을 알게 되었는데 한국어로 마땅한 정보가 없어 보여서 직접 작성합니다. 파일 업로드를 확인할때 사용하면 좋은 웹셸입니다. (그렇다고 타인의 웹서버에 올..

앞선 글에서 b374k 설치와 여는 방법까지 했습니다. https://snorlax1224.tistory.com/71 b374k 설치와 사용 방법 공부하다가 b374k라는 것을 알게되었는데 한국어로 마땅한 정보가 없어보여서 직접 작성합니다. 파일 업로드를 확인할때 사용하면 좋은 웹셸입니다. (그렇다고 타인의 웹서버에 올리면 안됩니다 snorlax1224.tistory.com 못 보신 분들은 위의 링크 타셔서 확인 부탁드립니다. 이번 글은 제가 써본 기능들에 대한 소개입니다. 꼭! 개인 서버에서만 하시길바랍니다. 타인 웹 서버에 했다간 큰일납니다. (잘못된 사용에 대해 작성자는 책임지지않습니다.) Explorer explorer는 디렉토리 인덱싱한 것마냥 GUI형식으로 디렉토리를 보여줍니다. 처음 들어가면..

공부하다가 b374k라는 것을 알게 되었는데 한국어로 마땅한 정보가 없어 보여서 직접 작성합니다. 파일 업로드를 확인할때 사용하면 좋은 웹셸입니다. (그렇다고 타인의 웹서버에 올리면 안 됩니다. 개인 웹서버에서만 진행하세요.) b374k란? b374k는 다양한 기능을 갖춘 PHP 웹셸입니다. 웹 쉘은 공격자가 웹 서버에 원격으로 접근하고 제어할 수 있도록 하는 악성 스크립트입니다. b374k는 다음과 같은 기능을 제공합니다. 기능: 파일 관리: 파일 보기, 편집, 삭제, 업로드, 다운로드, 압축/해제축소 파일 검색: 파일 이름, 파일 내용, 폴더를 검색 명령 실행: 서버에서 임의의 명령 실행 DBMS 연결: MySQL, MSSQL, Oracle, SQLite, PostgreSQL 등 다양한 데이터베이스 ..

Injection 공격은 웹 애플리케이션의 취약점을 악용하여 공격자가 임의의 코드를 삽입하여 데이터베이스를 조작하거나 시스템을 손상시키는 공격입니다. OWASP Top10에 항상 올라오는 공격으로 해외보고서나 우리나라 보안 보고서를 보면 항상 상위권을 차지하는 위험도가 높은 공격입니다. 아래는 대표적인 Injection 공격 예시입니다. SQL injection SQL injection 공격은 웹 애플리케이션이 사용자 입력을 제대로 검증하지 않을 때 발생합니다. 공격자는 악의적인 SQL 코드를 입력하여 데이터베이스에 접근하거나 데이터를 조작할 수 있습니다. Blind SQL injection Blind SQL injection 공은 공격자가 데이터베이스의 정보를 얻기 위해 특정 조건을 충족하는 데이터를 ..

cve를 찾다가 cve가 정리되어 있는 사이트가 없나 싶어서 검색하는 김에 보기 편하게 정리해놓을려고 작성 CVE란? 먼저 CVE는 공개적으로 알려진 컴퓨터 보안 결함 목록을 얘기한다. CVE-(해당연도)-(일련번호)로 분류된다. (ex. CVE-2021-26644) CVE를 보고해서 받고싶다면 CVE를 발행하는 기업이나 오픈소스의 경우 오픈소스 커뮤니티에 제출해야한다. CVE 관련 사이트 kisa의 취약점 정보 CVE가 정리되어있다. 다 되어있진 않지만 그래도 한국어로 되어있기에 보기편하고 접근이 수월하다. 일차적으로 여기에서 본 CVE를 분석하면서 하면 좋을 듯 하다. KISA 인터넷 보호나라&KrCERT KISA 인터넷 보호나라&KrCERT www.boho.or.kr CVE 사이트 MITRE Cor..

카카오톡 메신저 시스템에서 심각한 보안 결함이 일어났다고 한다. 전자신문 etnews에서 나온 뉴스에 따르면 오픈 채팅 이용자들의 개인정보가 고가에 거래되고 있다고 한다. 오픈 채팅 DB를 추출해주겠다는 불법 솔루션 업체까지 나타났다고 한다. (뉴스 링크 : https://www.etnews.com/20230313000192) 해킹툴은 카카오톡의 메시지 전송 방식은 로코 프로토콜의 보안 취약점이라고 한다. 이 프로토콜은 10년 넘게 사용되면서 분석이 된 지 오래고 구글에 '로코 프로토콜'이라고 검색하면 바로 아래에 '로코 프로토콜 분석'이라는 연관검색어가 뜰 정도다. 뉴스 내용에 따르면 일부 개발자들은 리버스 엔지니어링을 통해 가짜 카카오톡을 만들어 로그인한 후 일반 이용자는 접근할 수 없는 곳에 저장된..

저번에 우연히 집들어와서 본 뉴스인데 보안관련뉴스라서 들고와봤다. 출처 : SBS뉴스영상 캡쳐 뉴스 내용은 피해자가 메신저로 가해자와 연락을 취하였고 네이버페이로 결제를 하였는데 알고보니 이 사이트가 피싱사이트여서 사기를 당했다는 내용이다. ​ 먼저 피싱이란 개인정보(Private Data)와 낚시(Fishing)의 합성어로 이메일 또는 메신저를 통해서 비밀번호 및 신용카드 번호와 같이 중요 정보를 탈취하려는 공격기법을 말한다. 공격 대상자가 피싱 메일이나 문자에 포함된 조작된 링크를 클릭하도록 유도한다. (출처 : 정보보안개론;실전 예제로 배우는 이론과 응용) ​ 또한, 사회공학 기법중 하나다. 사회공학 기법이란 기술적인 방법 대신에 사람을 속이는 공격 방법인데, 흔히 보이스피싱이나 쓰레기통을 뒤지는 ..

가장 최근에 나온 OWASP는 2021년도 기준이기에 맞춰서 작성합니다. ​ OWASP란 오픈소스 웹 애플리케이션 보안 프로젝트(Open Web Application Security Project)입니다. OWASP는 3~4년 주기로 10대 웹 애플리케이션의 취약점을 발표합니다. ​ 예전에 조사한 OWASP TOP 10과 지금의 OWASP TOP 10을 비교한 표입니다. ​ 2017년 2021년 인젝션(Injection) 접근권한 취약점(Broken Access Control) 취약한 인증(Broken Authentication) 암호화 오류 (Crytographic Failures) 민감한 데이터 노출(Sensitive Data Exposure) 인젝션 (Injection) XML 외부 개체 (XXE)..