| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- php 파일 업로드하기
- ssrf
- privilege escalation
- php To Do List
- tryhackme
- php 로그인 페이지 만들기
- sql injection
- 파일 업로드 취약점
- OS Command Injection
- War Game
- Reconnaissance
- THM
- access control
- active recon
- overthewire
- Server Side Request Forgery
- php
- SQLi
- Recon
- FTZ
- Cookie
- file upload
- Cryptography
- php file upload
- php login page
- active reconnaissance
- Leviathan
- BANDiT
- over the wire
- Authentication
- Today
- Total
목록BRUTE FORCE (3)
R's Hacking Daily Log
Authentication - Lab(2)
Authentication - Lab (1)에 이어서 password 기반의 인증 체제에 대한 내용을 살펴보도록 하자. Flawed brute force protection 공격자는 성공적으로 계정을 해킹하기까지 무수히 많은 brute force 공격에 실패하게 된다. 따라서 brute force 보호는 프로세스를 자동화하기에 최대한 까다롭게 만들거나 로그인을 시도할 수 있는 속도를 늦추는 식으로 수행될 수 있다. ** "프로세스를 까다롭게 만들다"는 말이 애매하게 들릴 수 있는 데 간단한 예시를 들자면! 이전 Lab 중에서 burp suite - Intruder를 이용해 brute force 공격을 했지만 response length가 다양하면서도 고유한 하나의 결과가 나오지 않아 결국 Grep - E..
burp suite으로 보는 간단한 Brute fore 실습
DVWA를 이용해 brute force 공격의 예시를 살펴보자. admin이라는 계정의 비밀번호를 알아내고자 하는 상황이라 상상하면 된다. 공격자는 login을 하기 위해 admin & passwd를 입력할 텐데 잘못된 비밀번호를 입력했을 때는 입력란 하단에 incorrect 문구가 출력된다. burp suite로 login 버튼을 눌렀을 때의 정보를 확인해 볼 수 있다. username = admin & password = 1010으로 시도한 걸 볼 수 있다. brup suite에는 brute force 공격을 시도할 때 사용해볼 만한 기능들이 갖춰져 있다. Intruder - Payloads로 들어가면 설정할 수 있는 옵션이 몇 가지 존재한다. payloads set을 1, payloads type을..
Brute force Brute force 공격이란 "전부 다 때려 넣어봐!!"라고 표현할 수 있을 거 같다. 숨겨진 directory를 찾기 위해 directory 이름을 대입해 보는 Gobuster ftp, ssh 등 각 protocol 계정의 비밀번호를 알아내기 위해 이런저런 값을 넣어보는 hydra 4 digit pin을 알아내기 위해 0000~9999까지 시도해 보는 for문 이와 같은 것들이 모두 brute force를 실행하는 예시라 할 수 있다. 대입해 볼 값이 많으면 많을수록 시간도 오래 걸리고 사람들이 일일이 입력해 볼 수 없는 노릇이기 때문에 컴퓨터에게 넣어볼 값의 목록을 주고 brute force 공격을 실행한다. *dictionary file = brute force 공격을 실행할..