아임노드

- 13개 정도의 취약점 존재 1) 주요통신기반시설 취약점 가이드(KISA) : 28개 2) 전자금융기반 취약점 가이드(금보원/비공식) : 48개 얼마나 빨리 취약점을 찾느냐가 개인 역량 디렉토리 인덱싱(경로 순회)- Path가 노출되어 접속이 가능한 취약점- ex) http://test.com/backup/위 주소에 접속해서 backup 디렉토리에 저장된 파일 열람 가능 - 사용 도구 : gobuster 또는 dirb gobuster1. 사용> gobuster 설치 > gobuster는 wordfile 즉, 사전파일이 필요하다.Desktop 경로에서 실행1) cp로 .(현재경로)에 파일 복사cp /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt..

오늘 강의가 끝나고 알고리즘에 뜬 영상을 무심코 눌러보았다.처음보는 유튜버였는데, 23살부터 스쿠버 다이버에 나중엔 삼성전자 취업에 파일럿까지..자기가 하고싶은 일이 있다면 돈과 명예가 아닌 나의 일을 하는 사람이었다.그분이 한 말들 중 기억이 남는 것은 1,2,3년 늦어지는거 인생에서 정말 별거 아니다.'최단의 길! 빨리 해서 빨리 돈벌기! 이런걸 외치지 말고 정말 내가 원하는게 무엇이고,어떻게 진로의 방향성을 설계할 것인지 고민하고 고민하라.' 였다. 최근 조금 조급한 마음도 들었고, 이거 하다 안되면 IT업계는 진짜 떠난다! 라는 마음가짐으로 조금 무겁게 이 공부를 하고 있었는데, 왜 한번 하다가 안됐다고 자리를 박차고 떠난나고 했지? 라는 생각이 들었다. 분명 이걸 시작할 때는 관심이 있고 재밌고..

1. 사용* Desktop 경로에서 실시함-x : method-v : 자세하게 보겠다.# curl -X GET -v http://vulnhub.com# curl -X GET -v [대상주소] 2. 확인> Request Header 부분  > Respone 부분  > 취약점 확인아파치 서버 버전 정보 노출도 취약점으로 확인할 수 있다.(Apache/2.4.38) > OPTIONS 메서드 사용해보기options 메서드는 허용(allow)되어있는 메소드 확인할 때 사용# curl -X OPTIONS -v http://vulnhub.com allow되어있는게 있는지는 respone header에서 확인하면 된다.-> allow라고 적혀있음여기 타겟주소에는 안나옴 이럴 경우 다시 아래 명령어로 확인해보기curl ..

(* 설치과정에 오류가 있어 제대로 동작안될 수도 있음!)nucleifuzzer1. 파이어폭스에서 nucleiFuzzer 검색첫 번째에 있는 깃허브 페이지로 들어가기  2. 깃허브에서 코드 복사  3. Desktop으로 이동하여 [git clone +복사한 주소]   4. *** go 언어가 없어서 실행이 제대로 안될 수 있으므로 go 언어 설치  5. 아래 단계 수행 (경로 잘 확인하기)chmod 777 : 실행권한 부여./install.sh : 셸 스크립트 실행  6. nf 입력해 추가적인 데이터 받아오기  7. -d 옵션 사용하여 실행nf -d 타겟주소  == 설치과정 요약git clone nucleifuzzercd nucleifuzzerchmod 777 install.shapt install go..

subfinder (추천!속도가 빠름)1. subfinder 설치subfinder도 칼리 리눅스에 설치되어 있지 않으므로, 별도의 설치를 진행한다. 2. subfinder 도구로 타켓주소 진단하기-d는 domain을 의미함(이 옵션만 생각하면 됨)subfinder -d 타켓주소subfinder -d google.com  많은 subdomain 확인(이건 타켓주소가 구글이라 그렇고 실제 실무에서 진단할 때는 보통 10개 이내로 나온다고 생각하면 됨)  dnsenum1. 서브도메인을 찾는 또다른 도구 dnsenum옵션없이 바로 타켓주소 작성 후 enterdnsenum 타켓주소dnsenum google.com 2. 찾는 시간dnsenum은 전체 출력까지 오래걸리므로 서브 도메인이 출력되었으면 [ctrl+c]로..

1. owasp-zap 설치기본적으로 칼리에 설치가 되어있지 않아 설치를 진행한다. 2. 설치 완료 후 다시 실행설치가 끝나면 다시 'owasp-zap'을 입력하여 실행한다. 3. 팝업 설정 사항(참고)세션 정보 유지할 것인가? -> No 업데이트할 것인가? -> 실습 중에는 close.나중에는 전부 업데이트 하도록 한다. 4. 사용순서- 대표적으로 Automated Scan 기능을 주로 사용한다. (클릭) - URL to attack에 공격할 타겟 주소를 입력한다.입력 후 Attack 클릭(attack을 누르면 자동진단 들어감) * attack시 어떠한 에러 창이 뜰 경우 아래 부분을 변경해볼 수도 있다.(변경하지 않고 넘어가도 진행은 됨) - 진행 후 결과값은 Alerts 탭에서 확인 가능하다.Act..

가끔 내 체력이나 정신력이 미쳤다고 생각할 때가 있다.바로 어제..ㅋㅋㅋㅋ3시간 자고 일어나서 현장실습가서 9to6로 활동하고다시 집으로 가는데 알바 늦을까봐 역부터 자전거 타고 늦지 않게 도착해서다시 새벽까지 알.바. 이랬는데, 집와서 또 할거 좀 하다가 잠듬..이것이 생활체력이다!!  오늘 추가한 취약점 진단 정리 > Nikto 칼리가 가지고 " data-og-host="imnode.tistory.com" data-og-source-u" data-og-host="imnode.tistory.com" data-og-source-url="https://imnode.tistory.com/100" data-og-url="https://imnode.tistory.com/100" data-og-image="htt..

burpsuite 및 진단 도구 설치가 완료되었다는 전제하에 실시한다.(아래 페이지 참고) 깃에 있는 파일이 로컬로 다운로드 됨 apt update -> 칼리가 가지고 " data-og-host="imnode.tistory.com" data-og-source-url="https://imnode.tistory.com/94" data-og-url="https://imnode.tistory.com/94" data-og-image="https://scrap.kakaocdn.net/dn/SmLFa/hyXGzXNsl6/iOCu4KjSVcHGMvEMN7LlUk/img.png?width=800&height=800&face=0_0_800_800,https://scrap.kakaocdn.net/dn/W0lh4/hyXGJF..

OverTheWire BanditLevel 13 -> Level 14  목표 : 비밀키를 확인하고 이를 활용해 서버에 접속하는 방법을 알아본다. 비밀키 확인하고 비밀키를 사용하여 bandit14 접속지정된 파일 경로를 따라 패스워드 찾기 풀이 방법  1. bandit13 서버 접속ssh bandit13@bandit.labs.overthewire.org -p 2220  2. 비밀키(프라이빗 키) 확인ls -al을 사용하면 맨 아래에 파일을 보면권한 : -rw-r-----소유자 : bandit14 ( 이 파일의 소유자는 bandit14이므로, bandit14 사용자만 파일을 읽거나 수정할 수 있다.)그룹 : bandit13 (이 파일이 bandit 13그룹에 속해있다.(읽기만 가능))파일이름 : sshkey..

OT 이후에 첫 오프라인 모임이다. 전철로 판교역이 멀지 않아서 출근길임에도 크게 밀리지 않고 왔다.(혹시 늦을까봐 두시간이나 일찍 나옴..)OT때 만났던 사람들과 또 보니 반갑고 모듈 프로젝트 때 팀원들 얼굴도 간간히 보였다.다 인사하고 싶었는데 화면으로 보다가 실제로 보니 긴가민가해서 못한 경우도 있었다..;암튼 다들 너무너무 반가웠다! 역시 난 오프라인이 좋다.회사 내부 사진을 멋대로 올리면 안될 것 같아서 별도의 사진을 찍진 않았지만2층에 있는 대강당에서 대부분의 프로그램이 이루어져 이때 사진 하나를 올려본다!각 직무별 내용을 듣다보니 염두에 두지 않았던 직무도 흥미를 가지게 된다.역시 아는만큼 보인다!어짜피 이번주내로 보고서를 작성해야 하니 여기엔 읽었을 때 도움될 만한몇 가지 내용만 간단히 작..