HACKING/Web5 Sqlmap 1. Request a Https request with a raw text option Insert ":443" into a Host heaer POST /test HTTP/1.1 Host: x.y.z:443 2. Run a tool with a time delay & proxy option sqlmap -r request.txt --proxy=http://127.0.0.1:8080 --delay=0.3 3. Bypass a basic filtering sqlmap -r request.txt --tamper="between,randomcase,space2comment" --proxy=http://127.0.0.1:8080 --delay=0.3 4. If you find 401 Unauthorized, .. 2023. 4. 4. Apache Contaminating Log Files = 아파치 로그 오염 공격 1. 아파치 서버 로그에 shell 코드를 삽입하도록 Request 전송 2. 공격자로 인해 include 인자값으로 아파치 로그파일이 지정될 경우, 쉘 실행 가능 Example) include() 를 통해 txt파일에 존재하는 php 코드가 실행됨을 확인 NICE SHOT 2022. 9. 30. Setting#0 Ubuntu환경에서 Docker를 이용한 Dokuwiki 세팅 Ubuntu에서 Docker를 이용해 Dokuwiki를 세팅하고 싶으신가요? [ Setting#0 Ubuntu환경에서 Docker를 이용한 Dokuwiki 세팅 ] Table of contents #1 Concept #2 Setting #3 Explain #1. Concept dokuwiki란? 문서 관리 협업 시스템 #2 Setting sudo mkdir /mnt/dokuwiki sudo wget https://raw.githubusercontent.com/splitbrain/dokuwiki-downloader/master/dokuwiki-downloader.php -O /mnt/dokuwiki/install.php sudo chown -R www-data:www-data /mnt/dokuwiki su.. 2021. 5. 26. Node.js#1 Prototype Pollution Prototype Pollution이란 ? [ Node.js#1 Prototype Pollution ] Table of contents #0 Introduction #1 3 Concepts #2 Exploit #3 Conclusion #0 Introduction 11년 전에 발표된 Software Platform인 Node.js는 현재 15.12.0 버전까지 출시됐으며, Server, Client 개발 언어(Javascript)의 통일로 인한 언어 습득 시간 감소, I/O 작업 도중에도 User Process 작업 중단이 이뤄지지 않는 Non-Blocking I/O 방식을 통한 효율적인 처리가 가능하기 때문에 현재는 주요 Network Application 개발을 위한 Software Platform으로.. 2021. 3. 22. Node.js#0 Pug Template XSS(Cross Site Scripting) Client에서 Server로 부터 변수를 받을때 이용해야할 문법은 ? !{} vs #{} [ Node.js#0 Pug Template XSS(Cross Site Scripting) ] Table of contents #0 Introduction #1 Vulnerable Code for XSS by using Pug Template "#{}" #2 Security Code for XSS by using Pug Template "!{}" #3 Conclusion #0 Introduction 11년 전에 발표된 Software Platform인 Node.js는 현재 15.12.0 버전까지 출시됐으며, Server, Client 개발 언어(Javascript)의 통일로 인한 언어 습득 시간 감소, I/O 작업.. 2021. 3. 22. 이전 1 다음
