분류 전체보기71 Setting#0 Ubuntu환경에서 Docker를 이용한 Dokuwiki 세팅 Ubuntu에서 Docker를 이용해 Dokuwiki를 세팅하고 싶으신가요? [ Setting#0 Ubuntu환경에서 Docker를 이용한 Dokuwiki 세팅 ] Table of contents #1 Concept #2 Setting #3 Explain #1. Concept dokuwiki란? 문서 관리 협업 시스템 #2 Setting sudo mkdir /mnt/dokuwiki sudo wget https://raw.githubusercontent.com/splitbrain/dokuwiki-downloader/master/dokuwiki-downloader.php -O /mnt/dokuwiki/install.php sudo chown -R www-data:www-data /mnt/dokuwiki su.. 2021. 5. 26. root-Me#8 NoSQL injection - Blind Injection point 확보 후, 정규식 질의를 통한 data, data length 추출 가능 Payload import requests import urllib3 import string import urllib urllib3.disable_warnings() data_len = 0 password = "" u = "http://challenge01.root-me.org/web-serveur/ch48/index.php?chall_name=nosqlblind&flag[$regex]=^%s" return_text = 'Yeah this is the flag for nosqlblind!' for i in range(1,100): url = u % (".{%s}"%str(i)) r = requests... 2021. 5. 22. Tool#1 Gobuster Gobuster란? DIR Scanning 및 Sub domain Scanning BruteForce Tool Directory Scanning gobuster dir -u http://10.129.1.145 -w /usr/share/wordlists/dirb/common.txt Sub domain Scanning wget https://raw.githubusercontent.com/danTaler/WordLists/master/Subdomain.txt sudo gobuster dns --domain www.google.com -w ./Subdomain.txt +(-t 옵션을 이용하여 다수 쓰레드 이용 가능) 2021. 4. 29. Tool#0 Burp suite 이용 방법 Burp suite를 이용하고 싶으신가요? [ Tool#0 How to use Burp suite ] Table of contents #0 Using Burp suite for Web #1 Using Burp suite for Android Application Packet Proxy Server는 Client, Server 사이에 존재하며, Burpsuite에서는 Defualt로 127.0.0.1:8080 IP와 Port 이용해 접속한다. 데스크톱이나 Android가 프록시 서버인 BurpSuite에 접속을 해야만 Burpsuite 프로그램에서 통신 Packet을 확인할 수 있다. 만약 8080 포트에 공격자가 접근 가능하다면, 우리의 통신내용을 훔쳐보는 Sniffing 공격 가능하다. 이를 방지하기 .. 2021. 4. 22. HacktheBox#3 baby todo or not todo HacktheBox baby todo or not todo 을 풀고 싶으신가요? Do you want to solve HacktheBox baby todo or not todo ? [ HacktheBox#3 baby todo or not todo ] Table of contents #0 Problem #1 Concept #2 How to Solve #3 Conclusion #0. Problem Title 확인하여 부적절한 인증 처리 관련 문제임을 알 수 있다. 다운로드한 파일 확인 시, Node.js 소스코드를 확인할 수 있다. Whitebox 문제이다^.~ #1. Concept #2. How to Solve 1. 접근 / 2. Exploit 1. 접근 부적절한 인증 관련 문제이므로 일반 유저의 권한 차.. 2021. 4. 22. root-Me#7 Node.js Eval root-Me Node.js Eval을 풀고 싶으신가요? Do you want to solve root-Me Node.js Eval? [ root-Me#6 Node.js Eval ] Table of contents #0 Concept #1 Problem #2 How to Solve #3 Conclusion #0. Concept eval() 란? 인자값으로 들어간 Javascript 코드를 실행하는 함수 #1. Problem 네? 뭐라구여?ㅎㅎ 구글 감사해요~! #3. How to solve 문제에 eval()이라고 써있으니 바로 감이 싹 옵니다. Input 에 javascript 코드를 삽입합니다. - TEST 공격 가능 테스트를 위해 응답 프로세스를 종료하고 공격자가 입력한 문자열 "asdf"을 반환하.. 2021. 4. 8. Node.js#1 Prototype Pollution Prototype Pollution이란 ? [ Node.js#1 Prototype Pollution ] Table of contents #0 Introduction #1 3 Concepts #2 Exploit #3 Conclusion #0 Introduction 11년 전에 발표된 Software Platform인 Node.js는 현재 15.12.0 버전까지 출시됐으며, Server, Client 개발 언어(Javascript)의 통일로 인한 언어 습득 시간 감소, I/O 작업 도중에도 User Process 작업 중단이 이뤄지지 않는 Non-Blocking I/O 방식을 통한 효율적인 처리가 가능하기 때문에 현재는 주요 Network Application 개발을 위한 Software Platform으로.. 2021. 3. 22. Node.js#0 Pug Template XSS(Cross Site Scripting) Client에서 Server로 부터 변수를 받을때 이용해야할 문법은 ? !{} vs #{} [ Node.js#0 Pug Template XSS(Cross Site Scripting) ] Table of contents #0 Introduction #1 Vulnerable Code for XSS by using Pug Template "#{}" #2 Security Code for XSS by using Pug Template "!{}" #3 Conclusion #0 Introduction 11년 전에 발표된 Software Platform인 Node.js는 현재 15.12.0 버전까지 출시됐으며, Server, Client 개발 언어(Javascript)의 통일로 인한 언어 습득 시간 감소, I/O 작업.. 2021. 3. 22. node.js & Express Develop#3 [ node.js 개발일지 3일 ] Table of contents #0 Concept #1 Develop #0. Concept 포트 설정, express 프레임워크에서의 routing 개념 포트 설정 경로 /bin/www.js 소스코드 내용 var port = normalizePort(process.env.PORT || '3000'); app.set('port', port); Routing Routing이란? view와 URL을 연결 #1. Develop Client2Server 송/수신 로직 분석을 위한 Routing & Template 문법 습득, DB, Redis 이용 Routing Routing이란? view와 URL을 연결 1. View 생성 view를 veiws 폴더하위에 template 생.. 2021. 3. 16. 이전 1 2 3 4 5 6 7 8 다음
