We're already connected We're already connected

분류 전체보기

• 버프스위트(burp suite) 간단 사용법_Proxy

  IT/웹 해킹 2024. 1. 8. 16:24

  [이 블로그는 해킹 공부하면서 가볍게 정리용으로 기록 및 내 생각을 끄적여 두기 위한 블로그(라 쓰고 일기라 읽는)이다.] 버프스위트의 기능을 이용하여 CTF문제를 푸는 사용법은 4파트(proxy, repeater, comparer, decoder)로 나눠서 다뤄보겠다. 버프스위트를 킨 상태에서 크로뮴 브라우저로 이 링크를 눌러 문제 페이지로 들어간다. 데이터가 없다는 글자만 띄워주는 페이지가 표시된다. 이때 버프스위트의 history를 보게 되면 응답 데이터에 header User-Agent에 segfaultDevice를 넣어보라고 나온다. intercept로 가서 요청하는 데이터를 수정하여 포워딩 해보자. 기존에 쓰여있는 값을 지우고 segfaultDevice로 수정하여 Forward를 눌러준다. 그..

  Read More
• 버프스위트(burp suite) 간단 사용법

  IT/웹 해킹 2024. 1. 8. 15:43

  [이 블로그는 해킹 공부하면서 가볍게 정리용으로 기록 및 내 생각을 끄적여 두기 위한 블로그(라 쓰고 일기라 읽는)이다.] 버프스위트의 많은 기능 중에서도 주로 쓰이는 기능들을 몇 가지 소개해보자면 Proxy -> intercept (요청/응답 트래픽을 우선 막고 데이터 수정 후 포워딩하는 기능) Proxy -> HTTP history (요청/응답 트래픽들을 기록하는 기능) Intruder (웹에 사용자 정의 자동화공격을 하는 기능) Repeater (같은 요청/응답 트래픽을 반복적으로 수정하여 보내고 싶을 때 사용하는 기능) Decoder (인코딩 된 데이터를 디코딩할 때 쓰이는 기능, 역으로도 수행 가능) Comparer (요청/응답 트래픽의 데이터가 비슷한데 몇 글자만 다를 때 손쉽게 비교하기 위해..

  Read More
• 버프스위트(burp suite) 다운로드 및 간단 세팅

  IT/웹 해킹 2024. 1. 8. 14:08

  [이 블로그는 해킹 공부하면서 가볍게 정리용으로 기록 및 내 생각을 끄적여 두기 위한 블로그(라 쓰고 일기라 읽는)이다.] 구글에 버프스위트 다운로드라고 검색하거나, https://portswigger.net/burp/communitydownload proxy 로 오면 ip와 포트를 루프백과 8080으로 기본 설정을 해주면 된다. 그리고 만약 한글이 나오지 않는다면 User interface -> inspector and message ed..

  Read More
• 인증과 식별&로그인 로직 4가지

  IT/웹 개발 2023. 11. 15. 16:22

  [이 블로그는 해킹 공부하면서 가볍게 정리용으로 기록 및 내 생각을 끄적여 두기 위한 블로그(라 쓰고 일기라 읽는)이다.] DB 연동으로 회원가입 페이지를 만들고 회원가입 정보를 바탕으로 로그인하는 과정을 공부하며 로그인 로직이 여러 개가 있다는 것을 알게 되었고 인증과 식별에 관해 공부를 하고 정리를 해보았다. 인증 수많은 데이터 중에서 특정데이터를 찾아내는 집어내는 작업 쉽게 예를 들면 여권이나 주민등록증을 내가 가지고 있고 어떠한 심사에서 이걸 제시하고 '나'라는 걸 확인하는 절차를 인증이라 한다. 로그인 인증에서 아이디(식별) + 비밀번호(인증정보)로 비밀번호는 절대 노출돼서는 안 된다. 식별 주민등록증, 여권 등 과 같이 고유의 번호 및 문자 등으로 구별해 내는 수단이며 웹서버에서 유저가 로그인..

  Read More
• 로그인 DB연동하기

  IT/웹 개발 2023. 11. 15. 13:53

  [이 블로그는 해킹 공부하면서 가볍게 정리용으로 기록 및 내 생각을 끄적여 두기 위한 블로그(라 쓰고 일기라 읽는)이다.] 회원가입 페이지에서 입력받은 정보를 DB에 저장하는 것까지 했다면, 이제는 DB에 있는 정보(ID와 PW)가 맞다면 로그인하는 것을 만들어 보았다. 로그인하려는 유저의 아이디와 비밀번호를 POST로 받아와서 sql 쿼리 select 문으로 id와 비밀번호를 대조해 찾아온다. 그리고 쿼리를 실행한 결과를 result 변수에 담고 mysqli_fetch_array로 배열을 가져온다. 그리고 그 배열에 원하는 로그인 및 비밀번호 컬럼명을 집어 변수에 담고 POST값과 비교하여 둘 다 같으면 로그인 완료 메시지를 틀리다면 오류 메시지를 if문으로 출력한다. (따로 로그인 완료 메시지 화면은..

  Read More
• 회원가입 페이지 만들기 & DB연동하기

  IT/웹 개발 2023. 11. 13. 16:20

  [이 블로그는 해킹 공부하면서 가볍게 정리용으로 기록 및 내 생각을 끄적여 두기 위한 블로그(라 쓰고 일기라 읽는)이다.] 부트스트랩으로 회원가입 페이지를 만들고 DB연동하기를 우선 해봤는데 에러가 나고 막히는 부분이 있어서 우선 간단하게 만들고 꾸미기로 했다. (급할수록 돌아가라 라는 말이 통용되었다.) 기존 로그인 페이지 코드에 태그를 써 href 속성으로 정보입력을 받는 링크 또는 서버의 경로를 넣어주고 타입은 버튼 그리고 저장해 주면 끝! 그럼 회원가입 버튼이 이렇게 생길 것이다. 1. 회원가입에서 받은 정보를 관리하기 위해 mysqli_connect 함수를 사용해 DB 연동 코드 작성 2. 이름, 아이디, 비밀번호, 핸드폰번호, 성별 정도를 입력해주는 html input 코드를 작성( 밑에 ht..

  Read More
• 웹 서버와 DB연동하기 (phpmyadmin, db만들기, 간단한 sql)

  IT/웹 개발 2023. 11. 7. 16:28

  [이 블로그는 해킹 공부하면서 가볍게 정리용으로 기록 및 내 생각을 끄적여 두기 위한 블로그(라 쓰고 일기라 읽는)이다.] 이제는 웹 서버와 DB를 연동하여 웹 페이지에서 내가 학생의 이름을 입력하면 이름을 바탕으로 DB서버에서 정보를 가져와 점수가 출력되는 간단한 페이지를 만들어 보았다. 참고로 phpmyadmin 패키지 다운로드할 때 비밀번호 설정하라는 창이 떠서 설정했는데 로그인이 안 돼서 결국 mysql에서 직접 CREATE USER와 GRANT ALL PRIVILEGES로 유저 생성 및 권한을 주었다. 원래 이렇게 하는 게 맞는 것인지 잘 모르겠다. 아이디 root 치고 비밀번호 공백으로 두거나 1234 둘 다 안 먹혔다. /etc/phpmyadmin/config.inc.php 파일을 살펴보아도..

  Read More
• 부트스트랩으로 로그인 페이지 만들기

  IT/웹 개발 2023. 11. 7. 13:16

  [이 블로그는 해킹 공부하면서 가볍게 정리용으로 기록 및 내 생각을 끄적여 두기 위한 블로그(라 쓰고 일기라 읽는)이다.] 지난번에 만들어 놓은 간단한 로그인 페이지 코드를 부트스트랩을 활용해 웹 페이지를 꾸며보았다. 사실상 페이지 소스를 긁어와서 복붙 하면 끝인 아주 간단한 작업이다. 하지만 잘 만들어 놓은 페이지의 코드를 보면 너무 장황하여 어지러울 지경이다. 작업은 vi 에디터를 쓰면 불편하여 vs code 프로그램을 사용했다. [작업 순서] 구글에 bootstrap 검색하여 공식 홈페이지 들어가기 예시 탭에서 sign-in 이라는 로그인 폼 클릭 로그인 페이지에서 오른쪽 마우스 클릭하여 소스 보기 선택 Ctrl+A 하여 복사 -> vs code에 붙여 넣기 필요한 부분 수정하기 SFTP로 리눅스 ..

  Read More