분류 전체보기198 24. 메소드 허용 webdav 취약점 VM ware beebox v1.6 bWAPP에서 취약점 연습 VM ware에서 beebox 기동 후 해당 IP 주소로 burp suite 오픈 브라우저로 접속한다. bee / bug로 접속하고, A5에서 Insecure WebDAV Configuration 취약점을 찾아서 들어간다. kali에서 nikto로 간단하게 취약점 분석을 해보면 indexing 취약점이 나오고 HTTP method로 'PUT'이 allows 되어 있음을 볼 수 있다. (to save files on the web server) + Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE, 위의 매소드까지는 보안 상 허용가능 범위지만 아래에 있는 매소드들은 보안상 취약점이 된다. DELET.. 2022. 9. 18. 23. Burp Suite 기능 Repeater와 Intruder 1. Repeater Request를 수정해 가면서 Response를 반복적으로 확인하여 볼 때 사용한다. Metasploitable V2의 DVWA 취약 페이지 로그인 시도를 통해서 해당 기능에 대해서 살펴본다. burp swite를 새로 키면 항상 Proxy - Option에서 server response intercept를 꼭 체크해 준다. proxy에서 Intercept is on을 누르고 Open Browser로 별도의 프록시 설정 없이 바로 Metasploitable에 접속해 본다. DVWA 로그인 화면에서 임의의 아이디 패스워드 값을 넣어서 Requset와 Response가 어떻게 오는지 확인한다. POST 방식으로 아래의 parameter들을 넘기는 것을 볼 수 있다. 이를 우클릭하여 Re.. 2022. 9. 17. 22. Metasploit 모듈 활용 1. Metasploit HTTP 정보 수집 모듈 http_version 정보를 불러오는 모듈 해당되는 모듈 파일(http_version.rb)을 찾아가서 vim으로 읽으면 아래와 같다. Ruby로 쓰여 있고, 객체 지향 언어로 자바처럼 모듈을 불러와서 사용하고 있다. 모듈이 어떻게 생겨 먹었는지 안을 까 보았더니 모듈로 만들어진 언어로 되어 있다는... 우선 모양만 눈에 담아두고 넘어 간다. 2. Metasploit 워드프레스 버전 정보 모듈 auxiliary에서 wordpress 관련 모듈을 검색하면 아래와 같고 그중에 가장 간단한 scanner를 사용해 본다. show options로 보면 RHOSTS를 채워야 함을 알 수 있는데 show missing 명령어로 채워야 하는 옵션만 출력해 볼 수 있.. 2022. 9. 14. 21. Metasploit 추가 명령어 및 옵션 1. Metasploit set/setg/unset/unsetg 옵션 모듈을 사용하게 되면 Required로 채워야하는 옵션들이 있는데 이를 설정할 때 set 명령어를 사용한다. 아래 모듈에서는 RHOSTS가 required 지만 current setting에 값이 없으므로 set으로 설정해야 한다. set으로 설정 후 다시 show options로 보면 값이 들어가 있음을 볼 수 있다. 여기서 setg(g는 global)로 설정을 하게되면 해당 모듈 뿐 아니라 모든 모듈에 대한 옵션값을 동시에 설정 할 수 있다. getg RHOSTS로 현재 global하게 설정된 옵션값을 출력 할 수 있다. unset / unsetg는 각각 설정된 옵션값을 삭제시킨다. RHOSTS / RHOST에 차이는 복수의 IP를.. 2022. 9. 13. 9월 2주차 공부정리 이번 주 달성 학점은행제 3주차 수강 완료 보안프로젝트 4주차 수강 및 정리 완료 (Metasploit) ELI 수업 및 과제 토플 Voca 1~3강 차주 목표 학점은행제 4주차 수강 완료 보안프로젝트 5주 차 수강 및 정리 ELI 수업 및 과제 토플 Voca 4~6강 소감 목표에 절반 밖에 못했다. 언제 목표보다 더 이것저것 달성한 것을 써보는가. 2022. 9. 12. 20. Metasploit 기초 1. Metasploit 모듈이해 Metasploit Project의 하위 프로젝트인 Metasploit Framework는 개발 및 원격 대상 시스템에 대한 공격 코드를 실행하기 위한 다양한 모듈을 지원하는 도구이다. Kali에 기본적으로 탑재되어 있는 Metasploit을 이용할 수 있다. ┌──(root㉿kali)-[/home/kali] └─# msfdb init : Metasploit DB 초기화 ┌──(root㉿kali)-[/home/kali] └─# service postgresql start : Metasploit에서 사용하는 sql service 활성화 ┌──(root㉿kali)-[/home/kali] └─# msfconsole : Metasploit Console 실행 현재 기준 Meta.. 2022. 9. 12. 이전 1 ··· 11 12 13 14 15 16 17 ··· 33 다음