전체 글
-
su root / sudo su 차이System 2024. 8. 19. 12:16
sudo su와 su root는 둘 다 root 계정에 접근한다는 것이다.하지만 차이점이 존재한다.su (Switch User)su 명령어는 뒤에 인자 값으로 오는 계정으로 전환을 시도한다.ex. su guest ⇒ 현재 계정에서 guest로 로그인 (환경 변수 로드 X)su - guest ⇒ 현재 계정에서 guest의 환경 변수를 가지고 로그인sudo (Super User Do)sudo 명령어를 실행하게 되면 root 권한으로 명령어를 실행하게 된다. 즉, 하나의 명령에 대하여 일시적으로 root의 권한 만을 빌리는 것ex. sudo apt-get update ⇒ 루트의 권한으로 해당 명령어 실행su root / sudo su 차이su rootsu 명령어에 의해 root로 계정 전환root의 비밀번호 ..
-
Windows x64 IBM - AIX 설치 / SSH 연결OS 2024. 8. 8. 16:21
해당 게시물은 타 블로그를 참고해서 진행한 설치 방법입니다. 자세한 내용은 해당 블로그를 참고하세요 https://berasix.tistory.com/entry/AIX-QEMU%EB%A5%BC-%EC%9D%B4%EC%9A%A9%ED%95%9C-AIX72-%EC%84%A4%EC%B9%98%ED%95%98%EA%B8%B0-2-VM%EC%83%9D%EC%84%B1-%EB%B0%8F-OS-Install [AIX] QEMU를 이용한 AIX7.2 설치하기 #2. VM생성 및 OS Install■ 윈도우11 Qemu를 이용하여 AIX7.2 설치하기 ※ 윈도우 Qemu 터미널에서 위아래 화살표키가 정상 동작한다는 상황하에서 진행합니다.(저는 맥북에서 설치하고 다시 윈도우로 VM을 옮겼습니다.) ※berasix.tist..
-
Webhacking.kr / old-27카테고리 없음 2024. 8. 6. 17:50
문제를 확인해 보면 SQL Injetion임을 확인할 수 있다. 소스코드를 확인해 보면 if($r['id']=="admin") 즉, db의 결과 값 중 id의 값이 admin이면 문제가 해결됨을 알 수 있다. if(preg_match("/#|select|\(| |limit|=|0x/i",$_GET['no'])) exit("no hack"); 해당 부분을 우회하여 해결한다. 힌트더보기공백은 %09 / %0a / %0b / %0c 로 우회 가능= 은 like / in / instr 등으로 우회 가능# 은 -- / ;%00 으로 우회 가능정답더보기?no=0)%09no%09like%092;%00
-
Webhacking.kr / old-16Web/webhacking.kr 2024. 8. 6. 17:21
문제를 확인하면 무슨 이상한 꽃 모양 3개만 나와 있는 것을 알 수 있다. 여기서 확인할 수 있는 정보는 더이상 없으므로 개발자 도구를 확인한다(Ctrl + command + i / mac) 해당 파트를 확인해 보면 mv / kk함수 2개가 있는 것을 확인할 수 있다. 유의 깊게 봐야할 구간은 mv함수에 if(cd==124) location.href=String.fromCharCode(cd)+".php"; 부분이다. 즉 mv함수로 들어온 cd의 값이 124일 경우 특정 페이지로 리다이렉션이 되는 것을 확인 할 수 있다. 정답더보기콘솔창에 mv(124)입력
-
Webhacking.kr / old-15Web/webhacking.kr 2024. 8. 3. 17:51
기본적으로 문제를 들어가면 alert문으로 Access_Denied가 발생하는 것을 확인할 수 있다. Burp Suite로 확인해본 결과 location.href='/';document.write("[Get Flag]")2개가 작성되어 있는 것을 확인할 수 있다. ?getFlag로 이동할 시 flag값을 확인할 수 있다. 즉, '/'로 리다이렉션 되는 스크립트를 무시하고 해당 페이지로 이동하면 해결되는 것을 알 수 있다. https://webhacking.kr/challenge/js-2/?getFlag 로 이동할 수 있다. 정답더보기https://webhacking.kr/challenge/js-2/?getFlag 로 바로 이동or자바스크립트 동작 해제를 한 후 이동
-
CGI / FAST CGI && WAS vs CGI vs SpringWeb 2024. 7. 31. 21:32
본 문서는 공부를 하는 과정에서 사용하는 필기이다. 정확한 정보가 아닐 수 있으니 다른 문헌도 참고하길 바란다.CGICommon Gateway Interface 라고 한다. 웹 서버에서 동적으로 처리하지 못하는 정보를 처리하기 위해 환경 변수를 통하여 외부 프로그램에 보내는 데, 이 과정에서 웹 서버가 사용하는 인터페이스이다. 사실상 웹 서버는 유저가 요청한 파일을 읽어서 출력하는 것을 목적으로 하지, 데이터를 처리하는 것을 목적으로 하지 않는다. 그래서 데이터의 처리를 외부 프로그램에 맡기는데, 이 과정에서 외부 프로그램에 처리해야 하는 데이터를 주고 받는 부분이 CGI이다. FAST CGIFAST CGI는 Open Market이 자신들의 문제를 해결하기 위해 개발CGI는 데이터의 처리를 위해 각각의 ..
-
-
Web Scanner / Fuzzer 차이Web 2024. 7. 15. 15:35
공부를 하는 중 Web Scanner와 Fuzzer의 차이가 궁금했다. Fuzzer와 Scanner(이하 퍼저 / 스캐너) 모두 취약점을 발굴하고 점검을 하는 도구라고 생각했지만, 친구들과 얘기하며 조사해본 결과 미묘한 차이가 있다는 것에 결론이 났다. 다음은 토의한 내용을 바탕으로 정리해본 글이다. 필자의 생각이 가미 되어 있으므로 참고용으로 사용하면 좋을 것 같다.Fuzzing (Fuzz testing)먼저 퍼저에 대해 알아볼 필요가 있다. 퍼즈 테스팅(Fuzz testing) 또는 퍼징(fuzzing)은 (종종 자동화 또는 반자동화된) 소프트웨어 테스트 기법으로서, 컴퓨터 프로그램에 유효한, 예상치 않은 또는 무작위 데이터를 입력하는 것이다. 이후 프로그램은 충돌이나 빌트인 코드 검증의 실패, 잠재..