본문 바로가기

전체 글170

우분투18.04 root 로그인 우분투에서는 보안상 디폴트로 root 로그인이 불가능합니다.불편하니 root 로그인이 가능하게 설정해줍시다!! 우선 root패스워드를 설정합니다.1sudo passwd rootcs 로그인 잠금을 해제(unlock) 합니다.1sudo passwd -u rootcs /etc/gdm3/custom.conf 파일의 [security]밑에 AllowRoot = true를 추가해줍니다.1234/etc/gdm3/custom.conf#####################[security]AllowRoot = truecs /etc/pam.d/gdm-password 파일에서 다음을 주석처리합니다.123/etc/pam.d/gdm-password#############################################.. 2018. 10. 27.
우분투에서 크롬 실행 우분투에서 크롬 설치 후 실행이 안될 때 아래와 같이 실행시켜주면 됩니다!! 1google-chrome-stable --disable-gpu --disable-extensions --disable-d3d11 --disable-local-storage --disable-notifications --disable-offne-pages --disable-plugin-power-saver --disable-plugins-discovery --disable-sync --disable-translate --disable-webgl --no-experiments --no-sandboxcs 2018. 10. 27.
이미지를 텍스트로 추출 OCR이미지를 텍스트로 추출해주는 기능입니다. ABBYYOCR기능이 있는 Tool 입니다.(ABBYY외에도 여러가지 있다고 합니다) PDF 파일에 있는 내용을 복사할때 유용합니다!! 2018. 10. 22.
ISMS-P 통합에 따른 착안사항과 인증결함 사례연구 세미나 후기 보호되어 있는 글 입니다. 2018. 10. 21.
위험(Risk)이란? 위험(Risk) = 자산(Asset) X 취약점(Vulnerability) X 위협(Threat) R = VAT 위험(Risk) : 위협, 취약점을 이용하여 자산에 피해를 입힐 가능성자산(Asset) : 가치를 가진 자원취약점(Vulnerability) : 자산이 가지고 있는 보안상의 허점위협(Threat) : 자산에 악영향을 끼칠 수 있는 조건, 사건, 행위 · ·· 수식이 곱하기로 되어있는데, 이는 무엇 하나라도 0이 된다면 위험도 0이 된다는 것을 뜻한다.하지만 이 중에서 하나라도 0이 되기는 매우 힘들다는 것이 함정이다 ㅎㅅㅎ 작년에 보안기사를 공부하면서 저 수식도 보았었는데, 그때는 이것이 왜 중요한지를 몰랐다.벗! 이제는 항상 새기고 있어야겠다. 2018. 10. 3.
webhacking.kr 38번 문제 38번 문제입니다~~~log injection이라구 써있네요..훔..log injection이 뭘까요? sql injection처럼 파라미터를 통해 로깅을 조절하는 방법이라구 하네요 Admin을 클릭하면 admin.php로 가네요 admin.php에는 IP:입력한 값 형식으로 log가 찍혀있습니다 admin으로 로그인을 시도하니 admin이 아니라고 하네요 IP:admin으로 로그가 찍히게 만들면 될 것 같습니다\n으로 줄바꿈을 해봅시다11\n125.142.116.177:admin 해결 끝~!~!^~^ 2018. 9. 9.
webhacking.kr 24번 문제 24번 문제입니다! 들어가니 아래와 같이 제 IP와 Agent정보가 뜨네요!Wrong IP라고 뜨고있군요. 일단 소스를 살펴봅시다 index.phps가 주석처리되있네용. 들어가봅시다 IP주소가 127.0.0.1이면 해결되네요!!근데 그 전에 IP를 str_replace함수로 127.0.0.1이 나오지 않도록 공백으로 변환합니다 정말 그런지 볼까요? 쿠키값을 127.0.0.1로 설정해줍니다 str_replace함수때문에 127.0.0.1에서 1만 남았네용! 127.0.0.1이 결과로 남도록 만들면 될거같네요112277..00..00..1 요렇게! (빨간색은 공백으로 치환되는 부분!) 클리어~!~! 2018. 9. 9.
CVE-2006-5178 본 글은 ubuntu 18.04, php7.2를 기준으로 작성하였습니다.(php 7.2버전에서는 해당 취약점이 패치가 되었나봅니당 php4.x나 5.x로 다시 확인 예정!) what is open_basedir?open_basedir을 이용하면 함수(shell함수 제외)를 사용하여 파일에 접근할 수 있는 것을 제한할 수 있습니다.설정한 디렉터리에 있는 파일에만 접근할 수 있도록 제한해줍니다. 예를 들면, open_basdir=/var/www/html 으로 설정하면 html디렉터리 및 html디렉터리의 하위디렉터리에 있는 파일에만 접근할 수 있습니다.해당 디렉터리를 제외한 나머지 디렉터리는 제한됩니다. Set open_basedir!/etc/php/7.2/apache2/php.ini파일에서 설정해주면 됩니.. 2018. 9. 9.
php 파일업로드 에러코드 6 php.ini파일을 다음과 같이 수정1upload_tmp_dir = /tmp/cs 2018. 9. 7.
버전확인 lsb_release -a 2018. 9. 6.
Ubuntu18.04 APM 설치 Ubuntu18.04버전 APM 설치 방법!! ① $ apt-get install apache2 ② $ apt-get install php ③ $ apt-get install libapache2-mod-php ④ $ apt-get install mysql-server ⑤ $ apt-get install mysql-client ⑥ $ apt-get install php-mysql ⑦ $ apt-get install phpmyadmin ⑧ $ gedit /var/www/html/phpinfo.php ⑧ 브라우저에서 http://localhost/phpinfo.php 접속 2018. 9. 6.
webhacking.kr 18번 문제 이번 문제는 SQL Injection문제네요!! 제가 제일 어려워하는 SQL Injection...호덜덜! 우선 index.phps를 들여다봅시다!여러 문자들을 필터링하고 no hack이라고 출력하고있네요. 그렇다면 저 문자들은 패스!쿼리의 결과가 guest면 hi guest를 출력하고, admin이라면 해결이 되는것 같네요그럼 관건은 쿼리의 결과를 admin으로 만들어 줘야하는것! 1을 넣어보았습니다. 결과로 hi guest가 나오네요select id from challenge18_table where id='guest' and no=1 쿼리가 날라갔겠네요 계정이 guest와 admin두 개만 있다면 테이블이 아래와 같을 거라고 예상할 수 있습니다.guest 1 admin 2 혹은admin0 guest.. 2018. 9. 6.
webhacking.kr 17번 문제 17번문제를 클릭하니 입력받는 폼이 나옵니다 소스코드를 보면 엄청 긴 연산을 하고 그 결과값을 unlock에 넣어 입력받은값과 비교하여 일치하면 password를 출력하는 것을 알 수 있습니다처음에는 unlock을 계산해서 넣어 풀었습니다^~^...그런데 생각해보니 직접 계산 해 줄 필요가 없었답니다! password를 출력하기 전에 비교하는 if문을 지워주면 됩니다.. 요렇게.. 그러면 password가 출력됩니다^.^ Auth에 적어주면 해결 완료~!~!~ 2018. 9. 6.
webhacking.kr 16번문제 16번문제에 들어가니 별표가 보이네용 event.keyCode가 mv함수에 전달됩니다. 이 값이 124이면 어딘가로 보내고 있네요!124는 \키 입니다.shift+\키를 누르면 패스워드가 나옵니당 Auth에서 인증을 해주면 끄~~~읕! 2018. 9. 6.
webhacking.kr 14번 풀이 14번 문제를 클릭하니 무언갈 입력받는 폼이 나왔습니다ㅎㅎ 우선 URL을 얻어와서 .kr위치를 찾고 있네요!!결과값으로는 17이 나왔습니다. 여기다가 30을 곱하면 510입니다. 요녀석을 check해줍니다 패스워드가 나왔네요 ㅎㅎ Auth에 적어주면 해결 끝~!^.^ 2018. 9. 6.