rookies

1. 정보수집으로 찾은 ip로 접속한 사이트의 웹페이지 소스 코드를 확인 - “TO DO : Use a GET Parameter page_no to view pages” 라는 힌트가 적혀있다. 2. page_no 파라미터를 이용하기 위해 무차별 대입 공격 시도 - burp suite이용 (프록시 설정해야함) 3. 무차별 공격을 시도할 페이지를 프록시로 확인하고 Intruder로 보내, 변수 설정 4. 무차별 대입 공격에는 두가지가 있다. - 조합 가능한 모든 경우를 하나씩 대입하는 무작위 순차 대입방법 - 미리 정의된 목록을 대입하는 사전(Dictionary) 대입 방법 → 이 경우엔 page_no의 값을 부작위로 대입하면 되므로 무작위 순차 대입 방법이 유리 → 사전 대입 방법은 보통 자주 쓰이는 문자..

보통 회사에서 모의 해킹은 1. 사전협의 단계 2. 정보수집 단계 3. 위협 모델링 단계 : 수집한 정보를 토대로 진단 대상이 가지고 있는 잠재적인 보안 위협을 식별 4. 취약점 분석 단계 : 위협 모델링 단계에서 위협 중 보안 취약점이라고 할 만한 요소를 식별하고 공격 5. 내부침투단계 6. 보고서 작성 이 순서로 진행된다고 한다 모의 해킹 스터디이기 때문에 2단계인 정보수집 단계부터 시작하였다. 1. kali와 secret가 NAT 연결되어있는 상태 - ifconfig : kali : 192.168.10.134 - nmap -sn 192.168.10.0-255 : 지정한 범위 내 네트워크에서 열려있는 서버 확인 → 192.168.10.2 : gateway → 192.168.10.134 : kali →..