실전 웹 모의해킹

마지막 섹션 : 실전! 모의해킹
<실전 웹 모의해킹>
1) 환경구성
virtual box사용
pentestert/
exercise/
From SQL injection to shell/ISO download/
관리자 새로운 가상머신 만들기(리눅스32bit)설정어뎁터:호스트전용 어뎁터(kali로 접근가능하도록)/
ISO파일 선택 후 시작/ip addrip주소 알아두기/
kali전원끈 후 virtual에서 kali선택설정_호스트전용어댑터 변경/
kali 시작/
terminal_ip addr 확인/
웹브라우저 오픈+버프스위트 실행/192.168~웹사이트접속

2)최종 실습(SQL injection으로 shell 얻어내기)

• 웹페이지 살펴보며(메뉴 클릭) 정보 얻어내기
• 각 메뉴 클릭해보며 id=~(아이디 파라미터 변경되는 것 예의주시)
  -sql injection공격 가능 파악/
  id='--> sql error발생--> sql injection 에 취약할 가능성 높음--> terminal에 sql map -u옵션을 준후 정상적 주소 "복붙"
  

--> di parameter가 취약, XSS취약 가능성에 대한 정보가 출력됨.
+) 192.168~id=--> scriprt실행됨--> reflected XSS취약점 발견
--> 최종 정보: id parameter취약
--> --current-db --> 'photoblog'로 현재 db명이 출력됨
--> -D photoblog --dump -->db내용이 전부 출력됨
user table, admin(id), pw출력

--> 찾은 id/pw으로 로그인--> 공격성공