로보틱스 연구일지

웹해킹 프로젝트는 팀별로 웹페이지를 만들고 서로의 웹페이지의 정보를 빼오는 모의해킹을 실습한 프로젝트입니다. 이 프로젝트는 2주동안 웹페이지를 만들고 1주일에 한 번씩 2회의 실습에 걸쳐 진행되었습니다. 프로젝트에 대한 더 자세한 소개와 내용은 아래 깃허브 레파지토리에서 확인할 수 있습니다. https://github.com/Prcnsi/Hacking_Team_Project GitHub - Prcnsi/Hacking_Team_Project: 팀별로 서버를 구축해서 모의해킹 실습!! 팀별로 서버를 구축해서 모의해킹 실습!! Contribute to Prcnsi/Hacking_Team_Project development by creating an account on GitHub. github.com 본 포스..

※ 허가받지 않은 시스템을 대상으로 해킹하는 것은 불법입니다. 먼저 칼리 리눅스에 들어가서 Apache2 서버를 켠다. service apache2 start 이어서 터미널에 setoolkitsetoolkit을 입력하여 들어간다. setoolkit은 해커 회사에서 만든 거라나 그렇다는데 중요한 건 아닌 거 같으니 넘어간다. 그냥 내장 해킹 툴인데 리눅스에서 fdisk명령과 같이 터미널 안에서 프로그램(?)을 사용하는 거다. 들어가면 아래와 같이 뜬다. 여기서 아래 순서로 사이트를 복제해 주는 경로에 접근한다. 1) Social-Engineering Attacks 2) Website Attack Vectors 3) Site Cloner 2) Credential Harvester Attack Method 실..

오늘 소개할 것의 목차는 아래와 같다. 1. 포트스캔 2. 메일 헤더 3.Whois(feat DNS) 4.DNS 관련 실습:피싱사이트 만들기 이외에도 디렉터리 인덱싱 취약 점등 정보를 수집하는 방법은 다양하지만 오늘은 그중 포트스캔과 메일 헤더 Whois를 이용하는 방법에 대해 알아보겠다. 1. 포트스캔 포트스캔은 해당 호스트에서 어떤 포트가 열려있는지 스캔해보는 것이다. 이때 유의해야 할 것은 공인 IP/도메인 스캔은 불법이다. 하지만 오늘 실습할 것과 같이 가정에서는 대부분 NAT기술을 이용한 사설 IP를 사용하므로 실습이 가능하다. 1.1 Ip주소 확인 윈도우에서는 ipconfig를 통해, 리눅스에서는 ifconfig를 통해 pc의 ip를 확인할 수 있다. 위 화면의 ip에서 네트워크 주소는 192..

앞에 풀었던 문제는 다 $_GET[ ]문의 파라미터를 ‘no’라는 이름으로 했는데 여기서는 ‘id’로했다. 그러니까 앞의 걸로 치면 if($result[‘no’]==2)로 ?no=2만 붙이면 된다. 그런데 admin은 문자열이라 따옴표가 있기 때문에 addslashes가 따옴표 앞에 \를 넣어 조건문의 참 조건이랑 달라진다. 따라서 admin을 16진수로 바꾼 0x61646d696e를 id에 넣어주면 된다. 그런데 여기서 select from문을 사용했으므로 값 (as) 변수 형식으로 0x61646d696e (as) id를 입력하면 되는데 여기서 as는 생략하고 공백문자를 %09로 바꿔서 대입하면 아래와 같이 풀린다.