2024. 3. 15. 01:52ㆍnormaltic 취업반 5기/모의해킹 프로젝트
006 유추가능한 인증정보 이용
1) 회원가입 페이지
설명
회원가입 시 복잡도를 준수하지 않은 비밀번호를 등록할 수 있는 취약점 발견
위치
URL : http://ctf.segfaulthub.com:5498/sign_up_search.php
파라미터 : passw
취약점 검증 방법
회원가입 페이지에서 연속된 숫자 혹은 동일한 숫자로 이루어지는 등의 비밀번호 복잡도를 준수하지 않은 비밀번호를 입력 후 회원가입 버튼을 클릭하면 성공적으로 회원가입을 할 수 있다.
증적 사진
021 유추가능한 인증정보 이용
1) 게시글 작성
설명
게시글 작성 코드를 파이썬으로 작성하여 반복적으로 게시글을 작성할 수 있는 취약점 발견
위치
URL : http://ctf.segfaulthub.com:5498/write_ok.php
파라미터 : board_id, title, content
취약점 검증 방법
python 언어로 자유게시판에 게시글을 작성할 수 있는 코드를 작성하고 해당 코드를 반복문으로 여러 번 실행할 수 있는 파일을 만든다. 해당 파일을 실행하여 게시글을 반복적으로 작성한다. (검증 과정에서는 5개만 작성하도록 만듦)
자동화 공격 검증 코드
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
import requests
def auto_func() :
URL = "http://ctf.segfaulthub.com:5498/write_ok.php"
payload = {
'board_id':'board',
'title':'auto test',
'content':'test'
}
cookie= {
"session":"70c4fae3-f6ba-4a11-a31d-08e46d1f6006.C85HModrxzjYTmj7apnKXYXiZ_Y",
"PHPSESSID":"rs16503vnp0gr65g1mmum8n1t5"
}
requests.post(URL, data = payload, cookies=cookie)
for i in range(5):
auto_func()
|
cs |
증적 사진
027 데이터 평문 전송
1) 게시글 작성
설명
로그인 시 전달되는 데이터가 암호화되어있지 않아 와이어샤크를 통해 데이터를 확인 가능한 취약점 발견
위치
URL : http://ctf.segfaulthub.com:5498/login_search.php
파라미터 : userpw
취약점 검증 방법
와이어샤크를 켜놓고 로그인 페이지에서 로그인이 가능한 계정 정보를 입력한다. 와이어샤크에서 로그인 시 login_search.php 페이지로 전달하는 패킷을 포착하여 로그인에 사용된 비밀번호를 확인한다.
증적 사진
'normaltic 취업반 5기 > 모의해킹 프로젝트' 카테고리의 다른 글
| [모의해킹 프로젝트] R Com : 모의해킹 #1 (0) | 2024.03.20 |
|---|---|
| [모의해킹 프로젝트] First Board : 보고서 #3 (0) | 2024.03.16 |
| [모의해킹 프로젝트] First Board : 증적 사진 분류 028, 029, 041 #2-3 (0) | 2024.03.15 |
| [모의해킹 프로젝트] First Board : 증적 사진 분류 001, 002, 003 #2-1 (0) | 2024.03.13 |
| [모의해킹 프로젝트] First Board : 모의해킹 #1 (0) | 2024.03.13 |