전공 공부 썸네일형 리스트형 웹사이트 세션 스푸핑을 이용한 SQL 유저 데이터 탈취 이 글은 교육목적으로 작성하는 것으로 절대 타인의 컴퓨터에 공격을 해서는 안됩니다. 범죄 행위이고 처벌을 받을 수 있습니다. 모든 해킹 행위는 자기 자신에게 책임이 있습니다. 제 블로그는 불법적인 해킹 행위를 권장하거나 유도하지 않습니다. 오로지 테스트 및 연습 목적으로 읽어주시면 감사하겠습니다. DVWA는 PHP/MySQL 기반 웹 애플리케이션이며 웹 취약점 공격을 테스팅할 수 있는 환경을 줍니다. http://www.dvwa.co.uk/ DVWA - Damn Vulnerable Web Application www.dvwa.co.uk metasploitable에 설치되어 있는 Damn Vulnerable Web App(DVWA)의 SQL injection에서, 스푸핑을 이용해 SQL문을 이용해 데이터베.. 더보기 SQL 서버 무차별 대입 공격 및 스키마 구조 알아내기 이 글은 교육목적으로 작성하는 것으로 절대 타인의 컴퓨터에 공격을 해서는 안됩니다. 범죄 행위이고 처벌을 받을 수 있습니다. 모든 해킹 행위는 자기 자신에게 책임이 있습니다. 제 블로그는 불법적인 해킹 행위를 권장하거나 유도하지 않습니다. 오로지 테스트 및 연습 목적으로 읽어주시면 감사하겠습니다. 피해자 SQL 서버는 Metasploitable을 사용하여 진행하였습니다. 1. NMAP을 이용한 SQL 서비스 스캔 nmap -sT -sV -O 192.168.196.142 sql 서버의 취약점 공격을 위해서는 서버에 대해 파악할 필요가 있습니다. 네트워크 스캐닝 도구인 nmap을 사용해서 먼저 피해자 서버를 스캔해 줍니다. -sT -sV -O 옵션을 이용해 TCP 포트에 설치되어 있는 서비스와 운영체제를 검.. 더보기 피싱, 파밍 사이트 만들기 이 글은 교육목적으로 작성하는 것으로 절대 타인의 컴퓨터에 공격을 해서는 안됩니다. 범죄 행위이고 처벌을 받을 수 있습니다. 모든 해킹 행위는 자기 자신에게 책임이 있습니다. 제 블로그는 불법적인 해킹 행위를 권장하거나 유도하지 않습니다. 오로지 테스트 및 연습 목적으로 읽어주시면 감사하겠습니다. 파밍? 파밍은 사용자가 자신의 웹 브라우저에서 정확한 웹 페이지 주소를 입력해도 가짜 웹 페이지에 접속하게 하여 개인정보를 훔치는 것을 말합니다. 칼리 리눅스에 있는 setoolkit을 이용해 손쉽게 가짜 웹사이트를 만들 수 있습니다. https://ko.wikipedia.org/wiki/%ED%8C%8C%EB%B0%8D 파밍 - 위키백과, 우리 모두의 백과사전 위키백과, 우리 모두의 백과사전. 파밍(Pharm.. 더보기 웹 취약점 디렉토리 이동 공격, 파일 업로드 공격(DVWA) 이 글은 교육목적으로 작성하는 것으로 절대 타인의 컴퓨터에 공격을 해서는 안됩니다. 범죄 행위이고 처벌을 받을 수 있습니다. 모든 해킹 행위는 자기 자신에게 책임이 있습니다. 제 블로그는 불법적인 해킹 행위를 권장하거나 유도하지 않습니다. 오로지 테스트 및 연습 목적으로 읽어주시면 감사하겠습니다. DVWA는 PHP/MySQL 기반 웹 애플리케이션이며 웹 취약점 공격을 테스팅할 수 있는 환경을 줍니다. http://www.dvwa.co.uk/ DVWA - Damn Vulnerable Web Application www.dvwa.co.uk metasploitable에 설치되어 있는 Damn Vulnerable Web App(DVWA)을 사용하여, 디렉토리 이동 공격, 파일 업로드 공격 취약점 공격을 해보도록.. 더보기 John the Ripper를 활용한 비밀번호 해독 (리눅스, 윈도우) 이 글은 교육목적으로 작성하는 것으로 절대 타인의 컴퓨터에 공격을 해서는 안됩니다. 범죄 행위이고 처벌을 받을 수 있습니다. 모든 해킹 행위는 자기 자신에게 책임이 있습니다. 제 블로그는 불법적인 해킹 행위를 권장하거나 유도하지 않습니다. 오로지 테스트 및 연습 목적으로 읽어주시면 감사하겠습니다. 일반적으로 운영체제에서 비밀번호는 암호화되어 저장이 됩니다. 이때 저장 되는 비밀번호 파일을 이용하여 해독해보겠습니다. 패스워드 저장 위치 유닉스/리눅스 서버 시스템: etc/passwd, etc/shadow 윈도우 시스템: C:/Windows/System32/config/SMA vim /etc/shadow 칼리 리눅스의 shadow 파일을 보면 다음과 같이 패스워드가 암호화되어 저장되어 있는 것을 볼 수 있다.. 더보기 중간 정리 개인적으로 공부하면서 적은 것이므로 틀린 부분이 있을 수 있습니다. 스니핑 스푸핑을 이용한 ID/PW 탈취 시나리오 1. 용어 A. 스푸핑(spoofing): 인터넷 프로콜콜 TCP/IP의 구조적 결함을 이용해 사용자의 시스템 권한을 획득한 뒤 정보를 빼가는 해킹 수법 '속이다', '사기 치다'라는사기치다' 라는 뜻을 가지고 있습니다. 결국 네트워크에서 게이트웨이를 속임. B. ARP Spoofing(스푸핑)? ARP 캐쉬에 저장되는 MAC(물리적 주소)를 속여 랜에서 통신 흐름을 왜곡시키는 해킹 수법 (DNS를 속이면 DNS 스푸핑) C. 파밍: DNS 스푸핑공격을 통해 웹사이트를 속여서 개인정보를 수집하는 해킹 수법 D. Sniffing(스니핑)? - 네트워크상에서 자신의 아닌 다른 상대방들의 패킷 .. 더보기 윈도우 기반의 운영체제 침투하기(윈도우 2000 sever) 이 글은 교육목적으로 작성하는 것으로 절대 타인의 컴퓨터에 공격을 해서는 안됩니다. 범죄 행위이고 처벌을 받을 수 있습니다. 모든 해킹 행위는 자기 자신에게 책임이 있습니다. 제 블로그는 불법적인 해킹 행위를 권장하거나 유도하지 않습니다. 오로지 테스트 및 연습 목적으로 읽어주시면 감사하겠습니다. 이 글에서는 윈도우 기반의 운영체제 침투를 해보도록 하겠습니다. 공격을 시도할 피해자 서버를 준비를 해줍니다. windows 2000 server입니다. IP 주소는 192.168.0.123입니다. 처음 침투를 위해서는 침투할 서버의 네트워크에 대해 조사를 해야 됩니다. 우리는 ip 주소를 알고 있으므로 ip 주소를 nmap을 활용하여 포트스캔을 해보겠습니다. nmap을 이용하여 침투할 서버에 대해 조사를 해보.. 더보기 Spoofing(스푸핑), Sniffing(스니핑) - 칼리리눅스 이 글은 교육목적으로 작성하는 것으로 절대 타인의 컴퓨터에 공격을 해서는 안됩니다. 범죄 행위이고 처벌을 받을 수 있습니다. 모든 해킹 행위는 자기 자신에게 책임이 있습니다. 제 블로그는 불법적인 해킹 행위를 권장하거나 유도하지 않습니다. 오로지 테스트 및 연습 목적으로 읽어주시면 감사하겠습니다. Spoofing(스푸핑)? - 인터넷 프로콜콜 TCP/IP의 구조적 결함을 이용해 사용자의 시스템 권한을 획득한 뒤 정보를 빼가는 해킹 수법 - '속이다', '사기치다' 라는 뜻을 가지고 있습니다. ARP Spoofing(스푸핑)? - ARP 캐쉬에 저장되는 MAC(물리적 주소)를 속여 랜에서 통신 흐름을 왜곡시키는 해킹 수법입니다. Sniffing(스니핑)? - 네트워크상에서 자신의 아닌 다른 상대방들의 패킷.. 더보기 이전 1 2 3 4 5 다음
