| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- access control
- active reconnaissance
- FTZ
- php To Do List
- over the wire
- tryhackme
- Cryptography
- privilege escalation
- sql injection
- SQLi
- OS Command Injection
- php 로그인 페이지 만들기
- Authentication
- Recon
- Server Side Request Forgery
- BANDiT
- War Game
- Leviathan
- ssrf
- active recon
- file upload
- php 파일 업로드하기
- php login page
- php file upload
- Cookie
- THM
- php
- Reconnaissance
- overthewire
- 파일 업로드 취약점
- Today
- Total
목록TryHackMe (54)
R's Hacking Daily Log
RootMe
[ TryHackMe - RootMe ] target ip에 port scan을 해본다. 22&80 port가 열려있는 것을 확인할 수 있다. 80 port가 열려있으니 browser로 target ip에 접속해 보자. " root@rootme:~# can you root me?"라는 문구가 나온다. 메인 페이지에서는 더 얻을 만한 데이터가 없는 거 같으니 directory를 찾아보자. gobuster로 brute-force해보니 /uploads & /panel 이 나왔다. /uploads에는 해당 ip로 업로드한 파일 목록이 뜨는 페이지고, /panel은 위에 사진과 같이 파일을 업로드할 수 있는 페이지이다. 이걸 이용해서 php reverse shell을 다운로드하여 target 서버에 올려보자! 사..
Bounty Hacker
[General - Bounty Hacker] target ip에 port scan을 해보니, 21, 22, 80번 포트가 열려있는 걸 볼 수 있다. 80번 포트가 열려있다고 하니 browser로 접속해 보자! 들어가 보니 웬 사진 하나와 이런저런 말이 적혀있다. gobuster로 directory를 확인해 본 결과, images directory가 출력되었다. 해당 경로로 들어가 보니 browser로 접속했을 때 나왔던 이미지가 올려져 있다. 이번엔 ftp 접속을 해보자! 2개의 txt file이 있길래 둘 다 다운로드하였다. [locks.txt 내용] 처음엔 locks.txt를 보고 4L1mi6H71StHeB357만 내용이 다르고 각 문자열마다 알파벳이 숫자로 교체된 부분이 있길래 뭔가 있나 싶었다...
Introduction to Defensive Security
▶ Task 1 : Introduction to Defensive Security offensive security는 시스템 침입에 중점을 둔다. 시스템 침입은 버그 악용, 남용된 insecure setup, 접근 제어 정책 활용 등으로 일어날 수 있다. 이에 반대되는 개념으로 Defensive security는, ▷ 침임이 발생하는 것은 예방 ▷ 침임이 발생했을 때 감지&적절한 대처 위의 두 가지의 업무를 중점으로 본다. https://tryhackme-images.s3.amazonaws.com/user-uploads/5f04259cf9bf5b57aed2c476/room-content/10bfd751e4cd249e9d1ad0614d7fc049.png Red Team이 offensive security의..
Web Application Security
▶ Task 1 : Introduction 우리는 모두 각자의 컴퓨터에서 서로 다른 프로그램을 쓰는데, 프로그램은 컴퓨터에서 동작하면서 컴퓨터의 processing power(처리 능력) and storagy(저장소)를 사용한다. 또한 프로그램을 사용하기 위해선 먼저 "설치"해야 하는데 만약 설치 없이 프로그램을 사용할 수 있다면 어떨까?-? web application은 firefox, safari, chrome과 같은 최신 표준 web browser만 있으면 설치 없이 사용할 수 있는 "프로그램"과 같다. 따라서 프로그램을 설치하는 것 대신, 관련 페이지를 찾아보기만 하면 된다. web application의 예는 아래와 같다. weather forest money transfer web mail o..
Hydra
▶ Task 1 : hydra introduction [hydra] : brute force online password cracking program : list를 사용해 인증 서비스에 brute force함으로써 password를 해킹하는 tool [available protocol] Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-POST, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTPS-POST, HTTP-Proxy, ICQ, IMAP..
Intro to Offensive Security
▶ Task1 : Hacking your first machine 오른쪽 상단에 있는 "Start Machine" 버튼을 누르면 머신이 실행된다. fake bank라는 사이트가 나와있다. 오른쪽에 보이는 ">_"을 눌러 terminal을 띄운다. 페이지에 나와있는 대로 명령어를 입력하고 enter를 누르면 terminal에 진행되고 있는 내용이 주르륵 뜬다. gobuster는 brute-forcing을 실행하는 도구로, 여기서는 directory mode로 사용되었다. 결과로 출력된 걸 보면, "/bank-transfer & /image" directory가 발견되었고 status code를 보니 bank-transfer directory에만 정상적으로 접근이 가능할 것 같다. 해당 url로 접근해 보니..