WriteUp Level13 저장된 위치는 /etc/bandit_pass/bandit에 있는데 우리가 읽을 순 없고, 대신 private SSH key을 이용해 확인 할 수 있다고 합니다. $ ssh bandit13@bandit.labs.overthewire.org -p 2220 $ ls -al total 24 drwxr-xr-x 2 root root 4096 Apr 23 18:04 . drwxr-xr-x 70 root root 4096 Apr 23 18:05 .. -rw-r--r-- 1 root root 220 Jan 6 2022 .bash_logout -rw-r--r-- 1 root root 3771 Jan 6 2022 .bashrc -rw-r--r-- 1 root root 807 Jan 6 2022..
WriteUp Level0-1 WriteUp 더보기 해당 문제는 SSH 접근을 명시하는 내용으로.. 사실 설명할 부분은 별로 없지만 정리하자면 ssh UserID@Server|Remote ip -p Port 위와 같이 적으시면 됩니다 전 Xshell로 접속할거라서.. 앞으로는 비번으로만 명시하겠습니다. [Next Level] ID : bandit1 PW : NH2SXQwcBdpmTEzi3bvBHMM9H66vVXjL 참고 자료 리눅스 SSH 클라이언트 - 제타위키 다음 문자열 포함... zetawiki.com ssh(1) - Linux manual page ssh(1) — Linux manual page SSH(1) BSD General Commands Manual SSH(1) NAME top ssh — ..
SQL 인젝션 기초 💡해당 내용은 pentestqym의 내용을 다시 한 번 정리한 내용이며, 모든 저작권은 해당 사이트에게 있습니다. 이번에는 SQL Injection이 뭔지와 어떻게 이루어지는지 알아봅시다. SQL Injection? SQL Injection dystopia050119.tistory.com Error-base SQLi WriteUp Error-based SQLi을 직접 실습해 봅시다. 본 훈련의 상단에 있는 실습 환경을 생성하여 오류 기반 SQLi을 직접 테스트하고 미션을 해결해 보시기 바랍니다. 먼저 참고하면 좋은 자료입니다. Error 기반 SQL 인젝션 💡해당 내용은 pentestqym의 내용을 다시 한 번 정리한 내용이며, 모든 저작권은 해당 사이트에게 있습니다. 오류기반 SQL..
💡해당 내용은 pentestqym의 내용을 다시 한 번 정리한 내용이며, 모든 저작권은 해당 사이트에게 있습니다. 오류기반 SQLi에 대하여 배워봅시다. Error based SQLi 데이터베이스 오류 메시지를 활용하여 데이터베이스에 대한 정보를 획득하는 SQL Injection 기법 잘못된 SQL 문법이나 자료형 불일치 등으로 인해 데이터베이스가 발생시키는 오류 메시지를 이용하여 공격자는 데이터베이스의 구조와 정보를 파악할 수 있습니다. 이를 통해 개인 정보와 같은 민감한 데이터를 탈취할 수 있습니다. 이러한 공격은 App에서 DB 오류를 표시하는 경우에 주로 사용됩니다. Error-based SQLi 원리 DB로 전달되는 SQL 쿼리의 문법적 오류를 활용하는 기법으로, DB가 오류 메시지를 반환하거나..
💡해당 내용은 pentestqym의 내용을 다시 한 번 정리한 내용이며, 모든 저작권은 해당 사이트에게 있습니다. 이번에는 SQL Injection이 뭔지와 어떻게 이루어지는지 알아봅시다. SQL Injection? SQL Injection은 웹 애플리케이션에서 사용되는 SQL(Structured Query Language) 쿼리를 악의적으로 조작하여 데이터베이스를 공격하는 취약점입니다. 성공적인 공격으로 인해 공격자는 민감한 데이터나 개인 정보를 탈취하거나 데이터베이스를 손상시킬 수 있습니다. 이는 웹 보안에 매우 심각한 위협을 초래할 수 있습니다. SQL Injection action? 우리가 흔히 사용하는 App은 아래 그림처럼 CRUD가 이루어집니다. 특히 DB와 상호작용하여 필요한 데이터를 처리..
💡해당 내용은 pentestqym의 내용을 다시 한 번 정리한 내용이며, 모든 저작권은 해당 사이트에게 있습니다. 웹 애플리케이션이 동적 웹 컨텐츠를 서비스하기 위해 서버측에서 사용될 수 있는 웹 서버, 서버측 스크립트, 데이터베이스 등의 기술들에 대해 알아봅니다. 개요 서버 측(Server-Side) 기술이란 클라이언트-서버 모델에서 클라이언트, 일반적으로는 사용자의 웹 브라우저에서 실행되는 기술을 말합니다 서버측 기술은 웹 애플리케이션의 구현을 위해 사용되는 서버사이드 스크립팅 언어(Ex. PHP), 데이터베이스 관리 시스템(Ex. MySQL), 웹 서버 소프트웨어(Ex. Apache) 등을 의미합니다. 이러한 기술은 웹 페이지를 동적으로 생성하고 데이터를 처리하는 역할을 수행하여 사용자에게 맞춤형 ..
💡해당 내용은 pentestqym의 내용을 다시 한 번 정리한 내용이며, 모든 저작권은 해당 사이트에게 있습니다. 웹 애플리케이션이 서비스를 하기 위해 클라이언트측에서 사용될 수 있는 HTML, CSS, 자바스크립트, 문서객체모델(DOM) 등의 다양한 기술들에 대해 알아봅니다. 개요 클라이언트측(Client-Side) 기술이란 클라이언트-서버 모델에서 클라이언트, 일반적으로는 사용자의 웹 브라우저에서 실행되는 기술을 말합니다 클라 측의 기술로써는 무지 많지만 간단하게 아래 목차로만 알아봅시다. HTML CSS 자바스크립트 DOM Ajax JSON SOP CORS HTML, CSS, JavaScript 웹 클라 측의 기본으로써, 이건 해당 링크를 통해 학습을 하시길 바랍니다 정리도 정리이긴한데.. 직접 웹..
💡해당 내용은 pentestqym의 내용을 다시 한 번 정리한 내용이며, 모든 저작권은 해당 사이트에게 있습니다. 인코딩(Encoding)이란? 인코딩 : 어떤 한 형식의 데이터를 다른 형식으로 변환하는 기술이나 과정 디코딩 : 인코딩된 형식을 다시 원래의 형식으로 변환하는 기술이나 과정 웹(App)은 왜 인코딩을 할까? 초기 웹 환경에서는 ASCII 기반의 문자 표기에 대한 요구사항이 주로 있었지만, 인터넷의 글로벌 확장과 다국어 표기의 필요성이 대두되면서 다양한 인코딩 기법이 개발되었습니다. 웹에서 주로 사용되는 인코딩 기법은 중요한 개념으로 알아두어야 합니다. 인코딩 종류와 유형 URL 인코딩 URL 인코딩은 URL에서 문자를 표현하기 위한 기법으로, % 문자 뒤에 16진수 ASCII 문자를 붙혀 ..