전체 글 (30) 썸네일형 리스트형 Webgoat SQL injection migration 이 구문을 자세히 보면 Hostname, IP, MAC을 좌측에서 클릭했을 때 column 뒤에만 변하는 것을 볼 수 있다. 이 구문을 sql로 표현하면 이런 식으로 될 것이다. 만약 뒤에 이 구문이 있다고 가정해보자.(case when exists(select * from servers where hostname='webgoat-prd') then id else ip end) 이렇게 하면 id 순서로 정렬 되는 것을 볼 수 있다. 참고로 request response 이것은 아래를 클릭하고, 상단의 Repeater를 보면 알 수 있다. 위의 것은 똑같이 url 인코딩 해서 적어준 후 forward으로 쏴주거나 Repeater에서 send를 눌러서 결과를 확인 할 수 있다. 이제 응용해보자. (case .. Webgoat SQL injection advanced(5) Tom의 비밀번호를 알아보도록 하자. 먼저 edit을 눌러서 operator를 And로 바꿔준다. 그리고 burpsuite를 Intercept is On을 눌러준다. tom' and substr(password,1,1)='a'--를 입력해주고 밑에는 아무것도 해주지 않는다. 이렇게 나와야 하는데 or로 나와서 다시 forward 해주었다. send to Intruder를 눌러준다. Intruder를 눌러준다. password부분에 커서를 넣고 add를 해준다. payload 2개를 설정하기 위해 Cluster bomb으로 바꿔준다. 이렇게 설정하고 start attack을 눌러준다. start attack을 실행해서 패킷탐지를 시작한다. 430이상인 것을 들어가면 이렇게 뜨는 것으로 보아 참으로 볼 수 .. [Vmware]webgoat/Webwolf 실습하기 준비 cmd 관리자 권한으로 실행 ProgramFiles >Java>jdk-11.0.2>bin java -jar we탭(한번-server/두번-wolf) --server.address=자신의 ip 설정에서 프록시도 자신의 ip로 바꿔준다. https://portswigger.net/ Web Application Security, Testing, & Scanning - PortSwigger PortSwigger offers tools for web application security, testing, & scanning. Choose from a range of security tools, & identify the very latest vulnerabilities. portswigger.net 그리고 .. 이전 1 2 3 4 ··· 10 다음
