MIN

Kali 설치가 완료되어서 실행하면 한글이랑 영어가 깨져서 나타나는 경우가 있다. 두가지 이유 때문인데, 첫번째 이유는 한글 글꼴 패키지가 설치되어있지 않기 때문이다. 한글을 표시할 수 있는 글꼴 패키지를 설치하면된다.두번째 이유는 로케일 설정이 안되어있기 때문이다. 시스템이 한글과 영어 환경을 올바르게 인식하고 유니코드를 처리하도록 로케일 설정을 제대로 해야한다. 🛠️ 깨진 글자 해결 명령어 (핵심 2단계) 1단계: 글꼴(폰트) 설치 및 설정Kali Linux에 깨짐 없이 한글을 잘 표시할 수 있는 글꼴 패키지를 설치하고 설정한다.# 한글 폰트 패키지 설치 (예: 나눔 폰트)sudo apt updatesudo apt install fonts-nanum -y# 시스템 글꼴 캐시 업데이트sudo fc-..

Burp Suite + FoxyProxy 설정 가이드 Kali에서 Burp Suite를 사용하다보면 프록시 설정을 해야하는 경우가 많다. 매번 브라우저에서 프록시 설정을 하는 것은 귀찮은데 이럴 경우에 FoxyProxy를 사용하면 편리하다. FoxyProxy는 웹 브라우저의 프록시 설정(Proxy Settings)을 쉽게 켜고 끌 수 있게 해주고, 여러 개의 프록시 서버 설정을 저장해 두고 필요에 따라 빠르게 전환할 수 있도록 도와주는 도구이다.FireFox 또는 Chrome의 확장 프로그램으로 무료로 사용 가능하다. Kali를 다시 설치하게되면서 FoxyProxy를 다시 설치하게 되었다. 그래서 포스팅을 하면서 진행해보려고 한다. 이 설정은 크게 프록시 설정과 인증서 설치의 단계로 나뉜다. (내가 구축..

Insecure DOR (Change Secret) nmap 192.168.16.91 --script http-methods --script-args http-method.test-all='/192.168.16.91'nikto -h 192.168.16.91 msfconsole

Pyramid CTF Walkthrough Box의 ip는 192.168.16.19 라는 것을 알아냈다. ssh 와 http 서비스가 동작 중인것을 확인 SQL Injection 취약점은 없는지 작은 따옴표를 입력해보았다. 이로써 알 수 있는 정보 두가지 1. 사용자가 입력한 값이 웹 애플리케이션의 필터링 없이 데이터베이스 쿼리에 직접 사용되고 있다. (SQL 인젝션 취약점 존재)2. URL에 index.php?name=? 형태로 파라미터가 노출되는 것은 GET 방식을 사용하여 사용자 입력을 서버로 전송하고 있다.3. 해당 php는 총 3개의 칼럼을 표시할 수 있다. (필드명은 차이가 있겠지만 실행되는 쿼리는 대충 SELECT Name, Dynasty, Regnal Period FROM TA..

XSS - Reflected (GET) XSS - Reflected (POST) XSS - Reflected (JSON) XSS - Reflected (AJAX/JSON)burp-suite 사용 XSS - Reflected (AJAX/XML) XSS - Reflected (Back Button)XSS - Reflected (Custom Header) XSS - Reflected (Eval) XSS - Reflected (HREF) (HREF : Hypertext REFerence) XSS - Reflected (Login Form) phpMyAdmin BBCode Tag XSS XSS - Reflected (PHP_SELF) XSS - Re..

A2 - Brocken Auth & Session Mgmt. 1. Broken Auth - CAPTCHA Bypassing 2. Broken Auth - Forgotten Function 3. Broken Auth - Insecure Login Forms 4. Broken Auth - Logout Management 뒤로 가기를 누르면 세션이 그대로 유지되고있는것을 확인 5. Broken Auth - Password Attacks 6. Broken Auth - Weak Passwords 7. Session Mgmt. - Administrative Portals 8. Session Mgmt. - Cookies (HTTPOnly) 다른 사용자로 ..

CSRF (Cross-Site Request Forgery) : 크로스 사이트 요청 위조공격 목표: 사용자의 권한을 훔치지 않고, 그 권한으로 액션을 실행하는 것.핵심: 웹 브라우저는 사용자가 로그인해둔 사이트(은행, 쇼핑몰 등)에 요청을 보낼 때, 인증 정보(쿠키)를 묻지도 따지지도 않고 자동으로 함께 보낸다.공격: 공격자는 이 자동 전송되는 쿠키를 이용해, 피해자가 무심코 열어본 다른 웹페이지에 위장된 요청을 숨겨 놓는다.내가 은행 앱에 로그인(쿠키 저장) 해 놓은 상태에서, 해커가 보낸 수상한 문자(악성 웹페이지)를 실수로 누르면, 내 은행 계좌로부터 해커에게 이체되는 요청이 나도 모르게 은행 서버로 보내지는 것과 같다. PoC (Proof of Concept) 의 역할PoC는 위 공격이 실제로 가..

1. SQL Injection (GET/Search) 2. SQL Injection (GET/Select) 3. SQL Injection (POST/Search) 4. SQL Injection (POST/Select) 5. SQL Injection (AJAX/JSON/jQuery) 6. Manual Intervention Required 7. SQL Injection (Login Form/Hero) 8. SQL Injection (Login Form/user) 9. SQL Injection (SQLite) 10. Drupal SQL Injection (Drupageddon) 11. SQL Injection - St..