300x250 정보보안/Web Hacking36 webhacking.kr - old 01번 문제풀이 들어가기 전 적는 글 아침부터 Criminal IP로 API에 대한 공부를 했다. 나름 공부는 했지만 포스팅할정도의 실력까지는 미치지 못해서 취약점 분석을 하며 느꼈던 해킹 코드에 대한 숙련도 부족을 채우기 위해 가장 기초적인 webhacking.kr old부터 다 해결하고 다음은 리뉴얼된 webhacking.kr 그다음 툴을 사용하는 PortSwigger 다음은 문제 자체가 조금 수준 높은 dreamhack.io에서 공부를 진행하려고 한다. 그런다음 API와 Python 심화 공부를 할듯 https://webhacking.kr/chall.php >> Old - 01 : 가장 기초적인 쿠키 변조 Level 표시와 Sourece 표기 하이퍼링크가 있습니다. 2023. 2. 9. Criminal IP API를 활용해서 취약점 정보 조회하기 작업환경 Visual Studio Code 1.74.3 Python 3.11.1 Criminal IP Beta - API Key 필요 들어가기 전 지난번 ChatGPT에 API 활용방법을 교육시켜서 자동화 코드를 짜는 법을 공부했는데 생각보다 잘 되지 않았던 이유가 내가 API 활용도에 대한 숙련도가 낮기 때문이라는 생각이 들었기 때문에 API를 활용해서 Python으로 연계되는 코드를 좀 짜볼 생각이다. 오늘은 어제 운동하고 너무 피곤해서 심화되는 부분까지는 공부를 못했지만 앞으로 꾸준히 깊게 파서 자동화 해킹 툴까지 만들어볼 계획 >> Criminal IP API - 취약점 데이터 검색 기능 GET /v1/exploit/search import requests import sys url = "http.. 2023. 2. 8. 종합 IP 정보 조회 툴- Criminal IP, 공격자 IP 조회, 취약 IP,도메인 조회 Cybersecurity Search Engine | Criminal IP Criminal IP is a Cyber Threat Intelligence Search Engine and Attack Surface Management(ASM) platform to find everything in Cybersecurity with impressive amount data capacities, API speed, and price. www.criminalip.io 도구 이름 : Criminal IP 정보보안 전문기업 AI Spera에서 서비스를 시작한 CTI(Cyber Threat Intelligence) 사이버 위협 인텔리 전시 검색엔진입니다. 각종 웹과 도메인을 통한 취약점에 대한 자체 점검 또한 가능하며.. 2022. 12. 14. 트위터 API를 활용한 정보 수집 시나리오 - Twitter API, Recon-ng 작업환경 : Kali Linux 2022.3, Windows 11, Virtual Box 7v 작업도구 : Twitter API v2, Recon-ng 5.1.2 지난번 flickr API와 비슷한 주제의 시나리오이지만 이번에는 트위터 API를 활용합니다. 트위터 API는 트위터 개발자 항목에서 따로 발급받아야 하며 이번 시나리오에 활용될 트위터 API V2는 Essential 등급에서는 활용이 불가능하고 Elavated 등급으로 한 단계 높여야만 원하는 기능을 사용할 수 있습니다. 이에 대한 내용은 추후에 글을 작성해보도록 하겠습니다. 1. 기본 설정 및 모듈 로드 트위터에서 발급받은 API 키를 Recon-ng API에 연동합니다. keys list - api key 리스트 출력 keys add tw.. 2022. 11. 30. 특정 좌표에서 사진 정보를 수집하는 시나리오 - Recon-ng, Kali Linux, flickr 작업환경 : Kali Linux 2022.3, Windows 11, Virtual Box 7v 작업도구 : Recon-ng 5.1.2, Flickr API 해당 시나리오는 미국의 사진 공유 커뮤니티인 Flickr API를 활용해 특정 좌표의 사진 데이터를 수집하는 가상의 시나리오입니다. flickr API 사용을 위해서는 API Key를 발급받아야 합니다. Flickr 서비스 Flickr API는 외부 개발자가 비상업적 용도로 사용할 수 있습니다. 상업적 용도는 사전 합의를 거쳐야 합니다. www.flickr.com flickr API Key 값은 위 사이트에서 발급받을 수 있으며 회원가입이 요구됩니다. key를 발급받은 후 Recon-ng 툴을 실행해보겠습니다. 1. API Key 삽입 칼리 리눅스에서.. 2022. 11. 28. 툴을 활용한 도메인 취약점 진단 시나리오 - Recon-ng,nmap, Kali Linux 작업환경 : Kali Linux 2022.3, Windows 11, Virtual Box 7 작업도구 : Recon-ng 5.1.2 Kali Linux에 내장된 Recon-ng 툴을 활용해 취약한 도메인을 일괄 조사한 후 간단한 취약점 점검을 하는 시나리오입니다. 1. Recon-ng 실행과 소개 recon-ng는 현재 5.1.2 버전을 사용 중이며 기존 4 버전에서 5버전으로 오면서 특히 명령어 부분에서 큰 차이점이 생겼기에 이에 대한 숙지가 필요합니다. 아마 recon-ng를 이용한 다른 시나리오에서는 4버전에 대한 명령어 차이에 대한 내용이 들어갈 수도 있습니다만 이 글에서는 5 버전 명령어만 안내될 예정입니다. recon-ng는 오픈소스이며 웹 기반의 패시브 스캐닝 도구입니다. 첫 실행 시 모듈 .. 2022. 11. 26. 드림핵 문제풀이 - dreamhack-tools-cyberchef 해당 문제는 Level 1 dreamhack-tools-cyberchef 문제입니다. dreamhack에서 제공하는 cyberchef라는 툴 사용법을 익혀보라고 만들어준 것 같습니다. 문제 파일은 다운로드 받아보면 하나의 html 파일이 존재합니다. 문제를 보니 암호화된 문장을 복호화 하는 듯합니다. Rail Fence와 Base64, Rot13은 전부 암호화 기법입니다. Rail Fence : 지그재그 암호로 불리는 고전 암호이며 암/복호화 키는 깊이입니다. Base64 : 바이너리(Binaray) 데이터를 텍스트로 인코딩하는 기법입니다. Rot13 : 단순 카이사르 암호의 일종이며 알파벳 13글자를 밀어 만드는 간단한 고전 암호입니다. Webpack App tools.dreamhack.games 드림.. 2022. 9. 14. CSRF 취약점에 대한 간단한 설명과 그 예시 - CSRF Token, OWASP 10, Referrer CSRF 취약점의 정의 CSRF(Cross Site Request Forgery) 취약점이란 임의의 사용자 권한으로 임의의 주소에 HTTP 요청을 하는 취약점입니다. 정확히 얘기하면 HTTP 요청에 필요한 서명을 위조, 변조하는 공격이며 웹 서비스 이용자를 속여 의도치 않은 요청에 동의하도록 하는 공격입니다. 세부적인 예시로는 해커가 만든 웹 사이트를 정규 웹 사이트로 속여 접속을 유도하는 것도 CSRF 취약점에 해당한다고 볼 수 있습니다. 라는 명칭에 해당하는 모든 취약점이 해당합니다. CSRF 취약점의 위험도 2017년도 이전 OWASP Top 순위에는 CSRF도 10순위 내에 드는 취약점이었습니다. 2013년도 8순위의 위험도에 책정되어있습니다. 다만 17년도를 지나 가장 최근 발행된 OWASP 1.. 2022. 9. 3. 파일 다운로드 취약점에서 자주 쓰이는 Path Traversal 취약점 정리 - filedownload, path traveral 파일 다운로드 취약점이란. 웹 서비스의 파일 시스템에 존재하는 파일을 다운로드하는 과정에서 발생하는 보안 취약점 공격자가 웹 서비스의 파일 시스템에 존재하는 임의 파일을 다운로드할 수 있다. 설정 파일, 암호 파일, DB 백업 파일 등 민감한 정보가 포함된 파일을 탈취하여 2차 공격의 수행 가능 파일 다운로드 취약점은 웹 해킹중 한 기법으로 해당 웹 서비스의 임의 파일을 다운로드 하는 취약점입니다. 만약 서비스의 설정 파일이나 DB파일이 탈취된다면 개인정보를 통한 2차적인 공격이 가능해집니다. 파일 다운로드 취약점이 발생하는 웹 서비스 형태 파일 다운로드 취약점이 발생하는 URL 패턴은 다음과 같습니다. 위 주소들은 전부 URL 내에서 파일에 대한 경로로 접근이 가능하다는 것입니다. 그렇기에../ 의 파.. 2022. 8. 25. 드림핵 문제풀이 - Carve party // 웹 해킹 기초, JavaScript 문법기초, JavaScript 함수 난이도 : 하하 Dreamhack CTF Season 1 Round #2에 출제된 문제라고 합니다. 저는 드림핵에서 나오는 웹 해킹 로드맵을 쭉 따라가다가 에필로그에서 풀게 되었습니다. 문제 서버가 제공되지는 않고 문제 파일만 다운로드합니다. . html 파일 하나만 다운로드됩니다. 파일을 웹으로 열어보겠습니다. ?? 맨 아래를 보면 10,000번을 클릭해야 한다고 합니다. 클릭해봅시다. 30번가량 클릭하니 잭 오 랜턴 입이 보입니다. 정말 1만 번을 클릭해야 하나 봅니다. 처음엔 어떻게 풀어야 하나 머리가 안 돌아가더라고요 그래서 별 생쇼를 다했습니다. 먼저 jack-o-lantern.html 파일을 플라스크에 템플릿으로 넣고 웹 서버를 하나 돌린 후에 selenium으로 오토 클리커를 만들기도 했는데.. 2022. 8. 2. 이전 1 2 3 4 다음 300x250
