본문 바로가기

✒️ INTERLUDE/2022 Web & Hacking Study4

[INTERLUDE_Study] 비밀번호 힌트 변경 - Change Secret 실습 3 - 1 - 3. 비밀번호 힌트 변경 - Change Secret 실습 # 비밀번호 힌트 변경 - Change Secret 실습 1. csrf_3.php 페이지( = 현 사용자의 비밀번호 힌트를 변경할 수 있는 페이지 )로 접속 2. 빈칸에 'not an angel'을 입력한 후 Change 버튼 클릭 3. 버프스위트로 csrf_3.php 페이지와 요청 조회 + Line 16을 보면 요청을 성공적으로 인터셉트했음을 확인 가능 3. 비밀번호 힌트를 바꾸는 요청을 생성하기 위해 height, width 값이 0인 이미지 태그 생성 + 이때 생성되는 이미지 태그는 login, action, secret 변수를 포함해야 함 4. xss_stored_1.php 페이지로 이동하여 이미지 태그 입력 + xss_st.. 2022. 9. 30.

[INTERLUDE_Study] XML 외부 엔티티 공격 및 XDoS 공격 실습 3 - 1 - 2. XML 외부 엔티티 공격 및 XDoS 공격 실습 # XML 외부 엔티티 공격 실습 1. bee-box를 실행 --> 로그인 후 xxe-1.php 페이지로 접속 후 [Any bugs?] 버튼 클릭 2. [Any bugs?] 버튼을 누르게 되면 HTTP 연결 요청을 버프스위트에서 인터셉트 3. 마우스 우측 버튼 클릭 후 'Repeater로 전송' 옵션 선택 --> 무사히 Repeater로 요청이 전송됨 4. Request 상단의 Send 버튼 클릭 --> 요청 응답 값을 우측에 출력 5. Request 부분의 XML을 수정하여 Send 버튼 클릭 --> 수정된 요청 응답 값( = 서버의 etc 디렉터리 하위의 passwd 파일 )을 우측에 출력 + Repeater에서 XML 형식으로 선언.. 2022. 9. 30.

[INTERLUDE_Study] 계좌 이체 - Transfer Amount 실습 3 - 0 - 2. 계좌 이체 - Transfer Amount 실습 # 계좌 이체 - Transfer Amount 실습_방법 1 1. csrf_2.php 페이지로 이동 후 F12 단축키를 이용하여 개발자 도구 실행 + 웹 페이지의 소스 코드를 통해 account, amount 변수가 노출된 상태임을 확인 account amount 계좌번호 이체할 금액 2. amount 변수 값에 마이너스 값을 입력하여 계좌의 금액을 증가시키기 위해 이미지 태그 생성 + 생성된 이미지 태그는 height, width = 0 이여야 함 3. xss_stored_1.php 페이지로 이동 후 위에서 생성한 이미지 태그 입력 + xss_stored_1.php 페이지는 글 입력 시 테이블 형태의 블로그를 제공한다. 4. 텍스트 입.. 2022. 9. 28.

[INTERLUDE_Study] 비밀번호 변경 - Change Password 실습 3 - 0 - 1. 비밀번호 변경 - Change Password 실습 # 비밀번호 변경 - Change Password 실습 1. csrf_1.php 페이지( = 접속한 사용자의 비밀번호를 변경할 수 있는 페이지 )에 접속 후 change 버튼을 눌러 상단의 URL 형식 확인 2. 이미지 태그에 사용자 비밀번호를 변경하는 페이지 호출 후 비밀번호를 'evil'로 변경시키는 URL 입력 3. htmli_stored.php 페이지로 이동 --> 텍스트 입력 공간에 조작된 이미지 태그 입력 후 [Submit] 버튼 클릭 + 3번 과정 후 아무런 내용도 출력되지 않는 이유는 위에서 조작한 이미지 태그의 width, height 값이 모두 0으로 설정되어있기 때문 4. sqli_16.php 페이지에서 기존의 비.. 2022. 9. 28.

이전 1 다음

티스토리툴바