무기는 끈기

find 는 리눅스에서 파일 또는 디렉토리를 찾아주는 명령어 입니다. 특정 조건을 붙여 원하는대로 찾아서 특정 행동을 취할수도 있습니다. find [옵션] [경로] [표현식] # 현재 위치에서 log가 들어가는 파일 모두 찾기 find . -name "*log*" type을 정해줄 수도 있고, 수정된 마지막 날짜를 찾을수도 있습니다. 시스템 진단을 하기 위해선 기본적으로 알아야 하는 명령어로 주로 오래 사용되지 않는 파일이나 디렉토리를 찾아 제거하여 위험을 방지하는 용도로 추측됩니다. 일정기간이 지난 파일을 삭제하고 싶은 경우에 사용할 수 있는 구조는 아래와 같다. 상황에 따라 사용하는 함수가 다르기에 잘 구분하여 활용해야 합니다. 일정기간 지난 파일 삭제 명령 - 1일 지난 파일 삭제 예 find [디..

write up 해볼 CTF Challenge는 'Basic Script Prac' 이다. 가장 우측에 있지만, 클라이언트 스크립트를 활용하는 문제들 중 기본에 관한 문제이다. 문제를 클릭해보자. 문제에 대한 정보와 문제 페이지 링크, 그리고 관리자 방문 Bot Link가 나온다. 예상되는 풀이 루트: 1. 가장 하단의 문제 페이지에 접속 2. Mypage에서 XSS 취약점이 일어나는 곳 연구 3. XSS 취약점이 일어나는 곳에 삽입할 스크립트 제작 4. 스크립트가 실행될 링크를 관리자에게 전달 5. 내 공격자 서버로 데이터가 넘어오면 flag 탈취 혹시나 놓치는 것 없도록, 하나하나 차근차근 살펴보도록 한다. 1. 문제 페이지에 접속 문제 페이지가 나온다. Mypage에 취약점이 있다고 했으니, 로그인..

지난 글에선 XSS 공격 기법을 사용할 경우 막아놓은 것들을 어떤 방법을 사용해서 우회할 수 있는지 알아보았다. 글 보러가기 -> https://yubi323.tistory.com/78 [Web Hacking / 웹 해킹] XSS Bypass Trick 우회 트릭 기법 알아보기 (script 길이 제한, img 태그 활용, event ha XSS 공격기법을 사용하다보면 다양하게 막아놓은 것을 찾을 수 있다. 그럼에도 불구하고 이런저런 우회 기법을 사용하여 공격할 수 있기에, 해당 공격들에 방어하기 위해선 어떤 우회 방법이 있 yubi323.tistory.com 이번 글에선 XSS 공격기법에 대한 대응방안을 알아보려고 한다. XSS 공격기법에 대한 가장 분명한 대응방안은 바로 HTML Entity 치환 이..

XSS 공격기법을 사용하다보면 다양하게 막아놓은 것을 찾을 수 있다. 그럼에도 불구하고 이런저런 우회 기법을 사용하여 공격할 수 있기에, 해당 공격들에 방어하기 위해선 어떤 우회 방법이 있고 어떻게 우회할 수 있는지를 알아야 한다. 이번 글에선 XSS 우회 트릭을 몇가지 살펴보려고 한다. - script Tag 길이 제한된 경우 - script 단어 필터링 된 경우 - img Tag 활용(Event Handler 활용) - XSS in href - script Tag 내에서 XSS 발생하는 경우 - svg 등 다양한 태그 활용 - XSS in input 하나하나 살펴보도록 하자. - script Tag 길이 제한된 경우 script Tag 안에 들어가는 글자수를 제한 해놓은 경우는 아래처럼 우회할 수 있..