건우Sec

Wifi DoS 란?와이파이 인증이 해제될떄 Deauthentication 이라는 패킷을 보낸다 이 Deauthentication 패킷을 수없이 보내 와이파이에 연결된 모든 기기들이 끊기게 만드는 현상이 Wifi DoS 이다 Wifi DoS 실습   먼저 공격자는 어뎁터를 연결시킵니다 airmon-ng check killairmon-ng wlan0  그다음 모니터 모드로 진입합니다  Airodump-ngairodump-ng 툴을 사용해 도스 공격을 진행할 AP 들을 검색합니다  검색후 공격할 bssid 를 지정해줍시다 airodump-ng --bssid [BSSID] -c [채널] wlan0  50:46:AE:보호  Aireplay-ng이제 bssid 를 가지고 인증해제 공격을 진행해봅시다aireplay..

XSS(Cross Site Scripting) 이란?XSS(Cross Site Scripting) 이란 웹 서버가 사용자가 입력한 데이터를 제대로 검증하지 않아서 생기는 취약점이다악성 스크립트 즉 자바스크립트로 된 코드로 먼저 취약점을 식별한다 이로 인해 사용자가 예기치 못하게 피싱링크로 유도하거나 회원정보 탈취 , 웹 변조 (DEFACE) 등등 이건 자바스크립트로 된 페이로드 이다  이 페이로드 로 웹 서버 입력필드에 삽입을 하면 웹 서버는 태그에 HTML 로 인식을 해 그대로 (1) 을 팝업창으로 표시한다 xss 는 크게 3가지로 분류 한다 Reflected XSS 반사 해커는 먼저 악성 스크립트가 담긴 URL 을 사용자에게 보냅니다 사용자는 피싱 링크를 클릭해 웹 서버로 이동합니다 웹 서버는 악성 ..

준비물1. https://github.com/v1s1t0r1sh3r3/airgeddon GitHub - v1s1t0r1sh3r3/airgeddon: This is a multi-use bash script for Linux systems to audit wireless networks.This is a multi-use bash script for Linux systems to audit wireless networks. - v1s1t0r1sh3r3/airgeddongithub.com2. KALI LINUX | 와이파이 모의해킹 [ 환경설정 & 어뎁터 인식 ] (tistory.com) KALI LINUX | 와이파이 모의해킹 [ 환경설정 & 어뎁터 인식 ]와이파이 모의해킹 [ 환경설정 & 어뎁터 인식 ]..

SQLMAP 이란?sql injection 취약점을 사용하여 여러가지 SQL 문법들과 여러가지 조합들을 활용하고DB 서버 침투까지 지원하는 툴(TOOL) 이다.SQLMAP 사용법.sqlmap -u "http://example.com/page.php?id=1"-u 요청할 urlsqlmap -u "http://example.com/page.php?id=1" --dbs--dbs 데이터베이스 가져오기sqlmap -u "http://example.com/page.php?id=1" --tables -D database_name데이터 베이스 정보추출. sqlmap -u "http://example.com/page.php?id=1" --columns -D database_name -T table_name테이블 컬륨 확..

이번 주제는 와이파이 모의해킹에 대헤서 다뤄보겠습니다. 제가 제일 좋아하는 해킹 과목입니다 ㅎㅎ 밑에 사진을 보시듯 얼마나 재밌게 한 해킹인지 감이 오실겁니다 위에 사진으로 말하자면 와아파이 기능을 해주고 모니터주입을 해주는 어뎁터입니다그전에 환경설정을 해줘야 하는데 칼리 리눅스에서는 WIFI 기능을 하지못해 직접 어뎁터를 사 인식을 해야하므로 칼리리눅스에 호환이 되는 어뎁터를 사야만합니다. 어뎁터 추천 20252G1. AWUS036NH https://www.coupang.com/vp/products/6984235480?itemId=17071993264&vendorItemId=84246075936&q=awus036nh&itemsCount=36&searchId=110b3b76ceda4392b397f459b..

NoSQL Injection 이란?이름 그대로 NoSQL 기반에 공격이라고 생각하면 된다! SQL INJECTION 은 SQL 데이터베이스 기반으로 공격을 진행 했다면NoSQL INJECTION 은 다른 데이터베이스에게도 공격을 진행 할수있다 ( MongoDB ) 주입 공격 원리는 똑같다 NoSQL Injection cheat sheet MongoDB 쿼리 조작 { "username": "user" } { "username": { "$ne": null } } { "username": { "$in": ["user", "admin"] } } { "username": { "$gt": "" } } { "username": { "$lt": "" } } { "username": { "$regex": ".*" } }..

SQL INJECTION 이란? SQL 언어 injection 주입하다 SQL 인젝션은 데이터베이스에 취약한 부분을 노려 회원에 아이디 패스워드를알아내거나 관리자 계정을 우회할수 있는 걸 SQL INJECTION 이라고 한다. 이렇게 데이터베이스가 멍청하면 생기는 일이다. 직접 해커가 데이터베이스한테 명령을 내려ID 는 admin 인데 비닐번호는 password 야 어디있는지 알아? 정상인 데이터베이스는 입구컷하지만 멍청한 데이터베이스는 그대로 admin 사용자를 찾아 그대로 내준다 SQL INEJCTION 기법들1. 구문우회 기법 1. ' OR '1'='1--2. ' OR '1'='1' -- 3. ' OR '1'='1'/* 4. ' OR 1=1-- 5. ' OR 1=1# 6. ' OR 1=1-- 7. ..

IFRAME INJECTION 이란? HTML INJECTION 중 하나로.HTML 은 HTML 태그로 악성 스크립트를 삽입한다면 IFRAME 은 IFRAME 이라는 태그로 악성 스크립트를 삽입한다또한 IFRAME 태그는 HTML 내용 안에 또 다른 HTML 내용을 출력할 수 있는 태그이다  // 실습 //  LOW 단계 IFRAME INJECTION실습 페이지로 들어가자 여기서 위 링크 주소를 잘보면  http://192.168.142.131/bWAPP/iframei.php?ParamUrl=robots.txt&ParamWidth=250&ParamHeight=250 여기서 robots.txt 는  웹사이트의 어떤 부분을 크롤링할 수 있는지 지시하는 파일이다.쉽게 말하자면 출입된 구역이나 출입이허가 되지 ..

HTML 인젝션이란? 웹 애플리케이션에 악의적인 HTML 코드를 웹 페이지에 삽입하는 기법이다. 두가지에 HTML 인젝션 공격기법이 있다 1. Reflected 반사조건 검색창에 악성 HTML 스크립트를 넣었을떄 생기는 취약점 공격이다. 이로 인해 사용자는 PC 에서 HTML 악성 코드가 실행되어서 피싱 , 세션쿠키탈취 등등 가능하다. 2. Stored 저장형 주로 게시물에서 발생하는데 게시물에 악의적인 HTML 스크립트를 삽입할떄 생기는 취약점이다 이로 인해 게시물을 누르는 사람은 HTML 악성 스크립트가 실행되 피싱 , 세션쿠키 탈취에 노출된다 [실습] 자 우리는 원하는건 HTML 인젝션을 활용하는 것이니.. 해킹 당했다는 문구를 한번 넣어볼것이다  자 이렇게 HTML 악성 스크립트를 넣어 해킹 당했..