코딩하는 해커

[Web Hacking] DVWA 환경에서 sqlmap으로 Blind-SQLi 실습

DVWA 환경에서 sqlmap으로 Blind-SQLi 실습 DVWA 환경에서 칼리리눅스에 내장되어 있으며 SQL injection을 자동화해서 공격해주는 강력한 도구인 'sqlmap'으로 Blind-SQL injection 공격을 실습하고자 한다. sqlmap은 칼리리눅스의 터미널에서 'sqlmap'이라는 명령어를 사용해서 사용할 수 있다. 도움말: sqlmap -h (or sqlmap -hh) sqlmap은 위의 사진에서 나오듯이 -u 다음에 공격 대상의 URL 주소를 필수로 입력해 주어야 한다. 그리고 이번 실습에서는 로그인이 되어있는데 이런 경우 브라우저의 개발자 도구의 console 창에서 document.cookie 명령어를 입력해 쿠키값을 얻은 후 --cookie="COOKIEPHPSESSID..

[Web Hacking] DVWA 실습환경 구축

약 8년~9년전쯤 새벽 3~4시까지 잠 안자며 webhacking.kr 의 모든 문제를 해결했던 기억이 있다. 과거에는 46위에 랭크되었는데 오랜만에 접속하니 224위까지 내려갔다. 오늘부터 모레(5/31)에 진행해야 하는 교내 웹 해킹방어대회를 준비하기 위해 오래 전에 공부해서 잊어버린 SQL injection이나 XSS 등 다양한 웹 해킹 기법을 복습도 할겸 DVWA 환경을 구축해 실습해보았다. 가상머신인 VMWare에서 칼리리눅스 자체를 종료하게 되면 아파치 서버와 DB가 닫히게 된다. 그러면 설치가 완료되어도 웹브라우저에서 http://localhost/로 접속해 DVWA에 정상적으로 접근할 수 없다. 이런 경우 /var/www/html 로 이동해서 service apache2 start 를 입력..