HTML Injection- POST(low)

HTML Injection- POST(low)

버프스위트에서 패킷을 잡았으면 이제 난이도 (하)부터 문제를 풀어보자 다음과 같이 HTML Injection - Reflected(POST) 선택 후 HACK 버튼을 누른다. 누르면 다음과 같이 저번에 GET Injection 문제에서 풀었던 문제가 나온다. 이제 여기다 정상적인 입력값을 입력해보자 다음과 같이 정상적인 입력값을 입력하면 이렇게 나온다. 이제 burpsuite를 사용해 중간에 패킷을 가로챈 다음 패킷을 수정해보자 일단 burpsuite의 intercept is off를 on으로 바꿔준다. 그 후 아까 입력했던 것과 똑같이 값을 입력 후 GO 버튼을 눌러준다. 그러면 다음 페이지로 넘어가지지 않을것이다. 이제 Burpsuite를 확인해보면 다음과 같이 패킷이 잡혀있는데 이제 여기서 우리는 ..

  • format_list_bulleted 웹해킹/bee-box
  • · 2019. 7. 26.
  • textsms
버프스위트와 beebox 사용하기(Windows)

버프스위트와 beebox 사용하기(Windows)

책을 읽다보니 버프스위트를 설치해야 한다고 나와있길래 버프스위트를 설치해서 사용해 보기로 하였다. 1. burpsuite 다운로드 https://portswigger.net/burp/communitydownload Download Burp Suite Community Edition PortSwigger offers tools for web application security, testing & scanning. Choose from a wide range of security tools & identify the very latest vulnerabilities. portswigger.net 다음 사이트에 들어가 burtpsuite를 다운받고 설치를 한다. 2. 설치가 다 되었으면 burpsuite를 ..

  • format_list_bulleted 웹해킹/bee-box
  • · 2019. 7. 26.
  • textsms
HTML Injection - Reflected(GET) -(high)

HTML Injection - Reflected(GET) -(high)

이제 (중)까지 마무리 했으면 (상) 단계로 넘어가자 (상)단계 선택 후 들어가면 예전에 풀었던 것 처럼 똑같은 화면이 나오고 (중)단계에 답을 집어 넣어보았다. 다음과 같이 태그들을 인코딩 한 값을 집어넣어도 문자열로 나온다. 이유는 우회 단계를 거치기 때문이다. 우회 과정을 확인하기 위해 비박스에 'htmli_get.php' 코드를 찾기로 하였다. 'htmli_get.php'코드는 '/var/www/bWAPP' 경로에 있기에 들어가 보았다. 들어가 보면 다음과 같이 htmli_get.php라는 파일이 있다. 이제 이 파일을 다운 받은 후 실행해보면 보기만 해도 복잡한 코드들이 나온다. 그림에 있는 코드에 가보면 security level에 따라 switch 문을 돌린 코드를 확인할 수 있다. case..

  • format_list_bulleted 웹해킹/bee-box
  • · 2019. 7. 25.
  • textsms
HTML Injection - Reflected(GET) -(medium)

HTML Injection - Reflected(GET) -(medium)

이제 난이도를 올려 중 난이도 문제를 풀자 중 난이도를 선택하니 난이도 하와 달리진게 없다. 그래서 난이도 하에서 했던 공격코드 삽입을 그대로 써보기로 했다. First name = Practice Last name =

  • format_list_bulleted 웹해킹/bee-box
  • · 2019. 7. 25.
  • textsms
HTML Injection - Reflected(GET) -(low)

HTML Injection - Reflected(GET) -(low)

이제 bWAPP - start를 눌러 시작을하면 다음과 같은 화면이 뜬다 이제 Login에다가 bee Password에 bug를 넣은후 low security level선택 후 로그인을 한다. 그 후 다음과 같이 HTML Injection - Reflecte(GET)을 선택 후 Hack을 누르면 다음과 같이 화면이 뜬다. 이제 정상적인 입력을 보여주기 위해 정상적인 입력값을 넣어 보겠다. 정상적인 입력 다음과 같이 내가 입력한 값이 나온다. 이제 HTML 코드를 집어 넣어보겠다. = 제목을 나타내는 코드(크기 = h1>h2>h3>h4>h5>h6) = 링크를 걸기위해 사용하는 코드 다음과 같이 입력하면 사용자에게 악의적인 사이트를 유도할 수 있다. http://localhost/bWAPP/htmli_get..

  • format_list_bulleted 웹해킹/bee-box
  • · 2019. 7. 25.
  • textsms
실습환경 구축하기

실습환경 구축하기

보조교재 : 비박스 환경을 활용한 웹 모의환경 완벽실습(한빛 미디어) bee-box 다운 https://sourceforge.net/projects/bwapp/files/bee-box/ bWAPP - Browse /bee-box at SourceForge.net × sourceforge.net 다음과 같이 사이트에 들어가서 zip 파일을 다운 받은 후 압축 해제한 후 vmware에서 open한다. open하면 자동으로 설치가 된 후 다음과 같은 화면이 뜬다. 여기서 terminal을 들어가서 ifconfig를 쳐서 자신의 IP주소를 알아낸다. 혹시나 키보드가 본인이 입력한 값과 다르게 나온다면? 키보드 세팅을 해줘야한다. 다음과 같이 System 클릭 후 keyboard 클릭 layout을 누르면 다음과..

  • format_list_bulleted 웹해킹/bee-box
  • · 2019. 7. 25.
  • textsms