리치라이프 연구소

웹해킹 -교차 사이트 스크립팅(XSS) 공격을 이용한 쿠키 탈취와 플래그 획득 과정

교차 사이트 스크립팅(XSS) 공격을 이용한 쿠키 탈취와 플래그 획득 과정 교차 사이트 스크립팅(XSS) 공격은 악성 스크립트를 웹 애플리케이션에 삽입하여, 사용자의 브라우저에서 실행되도록 유도하는 방식의 공격입니다. 이 공격을 통해 공격자는 사용자의 세션 쿠키를 탈취하거나, 웹 애플리케이션에서 중요한 정보를 유출시킬 수 있습니다. 이번 포스팅에서는 드림핵(Dreamhack)의 XSS 실습 문제를 활용하여 쿠키 탈취 공격을 진행하고, 이를 통해 플래그를 획득하는 방법을 설명합니다.  XSS 공격을 통해 할 수 있는 일세션 하이재킹(Session Hijacking): 공격자는 사용자의 쿠키를 탈취하여 사용자의 세션을 가로챌 수 있습니다.정보 유출: 공격자는 사용자의 입력이나 페이지에서 민감한 정보를 추출하..

Docker 설치방법   1. 우분투 시스템 패키지 업데이트 sudo apt-get update 2. 필요한 패키지 설치 sudo apt-get install apt-transport-https ca-certificates curl gnupg-agent software-properties-common 3. Docker의 공식 GPG키를 추가curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -  4. Docker의 공식 apt 저장소를 추가 sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) s..

Bandit Level 7 → Level 8 Level Goal The password for the next level is stored in the file data.txt next to the word millionth Commands you may need to solve this level man, grep, sort, uniq, strings, base64, tr, tar, gzip, bzip2, xxd   data.txt파일이 있다. cat실행해보니 파일내용이 아주 많았다. in the file data.txt next to the word millionth millionth문자를 검색하는 리눈스 명령어 grep.    비밀번호 획득~!  * grep 명령어로 특정 문자 검색하기   grep..

🐧 리눅스 find 명령어 완벽 정리! 초보부터 실무까지 📂리눅스에서 파일을 찾는 가장 강력한 명령어 find!사용법부터 실전 예제까지 한 번에 정리해드립니다.✅ find 명령어란?리눅스에서 파일 및 디렉터리를 검색하는 강력한 명령어입니다.다양한 옵션과 조합을 사용해 파일 이름, 크기, 생성 날짜, 권한 등으로 세밀하게 검색할 수 있습니다.🔹 기본 사용법bash복사편집find [검색할 디렉터리] [옵션] [조건] 예제: 현재 디렉터리에서 모든 파일 찾기bash복사편집find . . (점)은 현재 디렉터리를 의미합니다.🏆 find 명령어 핵심 옵션 10가지📌 1. 특정 파일 이름으로 찾기bash복사편집find /path/to/search -name "파일명" 예제: test.txt 찾기bash복사..

Bandit Level 5 → Level 6 Level Goal The password for the next level is stored in a file somewhere under the inhere directory and has all of the following properties: human-readable 1033 bytes in size not executable Commands you may need to solve this level    디렉토리가 너무 많다.사용해야할 명령어 : find많은 디렉터리 속에 조건에 맞는 파일을 하나 찾아야 함.find [경로] [옵션] : 해당 경로에 있는 파일을 옵션에 맞게 검색. find 명령어를 사용하여 1033 bytes인 파일을 찾기  ba..

Level3 -> Level4  마찬가지로 hidden file찾기리눅스 사용명령어 : ls -al   비밀번호 획득~! 숨김파일까지 다 보고 싶을떄는 ls -al!!

다름 level3로 가기위한 PW찾기 Home 디렉토리에 sapces in this filename 이라는 파일이 있다. ls - 라는 명령어를 쓰면 파일들이 보인다.  cat 명령어를 사용해서 비밀번호 획득

putty를 사용하다보니www.putty.org  Download PuTTY - a free SSH and telnet client for WindowsIs Bitvise affiliated with PuTTY? Bitvise is not affiliated with PuTTY. We develop our SSH Server for Windows, which is compatible with PuTTY. Many PuTTY users are therefore our users as well. From time to time, they need to find the PuTTY download link. Wwww.putty.org 로그아웃하면 창이 닫혀져서 불편한 면이 있어서다른 SSH프로그램을 찾아보았다...

로그인을 bandit1로 다시 해야한다.bandit0으로 하면 level2의 파일이 안보임.   위의 명령어를 치면 - 파일안의 password를 볼수있다. 이 password를 다음 레벨로그인때 사용한다.

해킹을 하려면 리눅스와 먼저 친해져야한다.윈도우와는 다르기때문에 리눅스와 해킹의 기초를 위해 추천받은 사이트가 Banditwar이다.레벨별로 문제를 푸는 형식으로 되어있다. https://overthewire.org/wargames/bandit/ Bandit The Bandit wargame is aimed at absolute beginners. It will teach the basics needed to be able to play other wargames. If you notice something essential" data-og-host="overthewire.org" data-og-source-url="https://overthewire.org/wargames/bandit/" data-og..