SK Rookies 9

SQL Injection 가능 여부 싱글쿼터를 하나 삽입하니 에러가 나오는 것을 확인 할 수 있었다. -> 문자가 먹힌다는 증거 1. Union SQL Injection Step 1. 칼럼 수 추출 더보기 쿼리 내용 요청 쿼리 입력값 매탄동’ ORDER BY 1 -- 결과 : 4번째 컬럼은 정렬이 안되어 컬럼의 개수는 3개인 것을 알 수 있다. Step 2. 각 컬럼 데이터 형 확인 더보기 쿼리 내용 요청 쿼리 입력값 매탄동' union select type, type, type from all_tables -- 결과 : 숫자, 문자, 문자 타입인 것을 알 수 있었다. Step 3. 테이블 목록 추출 더보기 쿼리 내용 요청 쿼리 입력값 매탄동’ union select null, owner, table_n..

네트워크 기본 개요 네트워크 주소 2계층 주소(물리적 주소) 이더넷 카드의 주소로 데이터링크계층의 MAC 계층에 의해 사용되는 12자의 16진수 - NIC(Network Interface Card) 또는 Ethernet Card - 데이터링크 계층의 MAC 계층에 의해 사용되는 48비트의 하드웨어 주소 - MAC 주소 (16진수 표현) : 00-A0-C9-15-81-C5 3계층 주소(논리적 주소) Network ID + Host ID = IP Network ID가 같아야 같은 내부망 다르면 외부망 4계층 주소(포트번호) 데이터 송수신, 서비스, 애플리케이션 등의 번호 더보기 송신 수신 7계층 주소(Fully Qualified Domain Name : FQDN) Host Name(www) + Domain ..

1. vmware을 이용하여 ova 이미지 불러오기 (NAT, 4G정도 할당) 2. Nmap을 이용하여 포트 스캔 진행, 최대한 많은 정보 수집 3. Nikto를 이용한 정보 수집 4. dirb를 이용한 디렉터리 정보 수집 이지 모드로 실행한다. 아래와 같은 이미지가 나오면 성공적으로 동작중(혹 모르니 적혀있는 ip로 핑도 보내본다.) 기본적인 포트검사 #갈 수록 더 자세하게 나온다. #-sC = --script=default 와 동일 sudo nmap -sV 192.168.5.133 -p- sudo nmap -sC 192.168.5.133 -p- sudo nmap -sV -sC 192.168.5.133 -p- #ox = output XML 결과를 파일로 저장 sudo nmap -sV 192.168.5...

도커파일 수동으로 도커 컨테이너를 다운받아서 새로운 컨테이너 이미지로 생성 하는 것을, 스크립트를 이용하여 자동으로 이미지를 생성하는 방법 Dockerfile - 약속된 파일명, 베이스 이미지(ubuntu) + 커스텀(RUN, ADD, COPY 등) = 최종 이미지 #FROM : 사용할 이미지 Pull과 같은 느낌 FROM ubuntu:14.04 #MAINTAINER : 만든사람 이름 적는 곳 (옵션) MAINTAINER "boanproject" #LABEL title : 이미지 라벨 붙이는 것 (옵션) LABEL title "Web Application" #RUN : 쉘 안에 들어가서 어떤 명령어를 할 지 순서대로 적는 것 #ADD : tar같은 압축파일을 풀어서 저장해줌ADD test.tar #COP..

내가 만든 시나리오

최종 아키텍처 서브넷 서브넷의 경우 WebServer를 운영하기 위한 Private Subnet 2개와 RDS를 위한 6개의 서브넷을 생성했다. #Private 서브넷의 경우 단일 실패 지점을 없애기 위해 2개를 만들어 분산 운영을 하기 위함이다. #RDS 서브넷의 경우 리전마다 다르지만 나의 경우 버지니아 북부(us-east-1)를 사용하여 6개의 가용영역이 존재했다. 라우팅 테이블 라우팅테이블의 경우 인터넷게이트와 로컬을 라우팅 해주고, WebServer가 운영되고 있는 Private Subnet를 연결해 주었다. 엔드포인트 엔드포인트의 경우 VPC외부에 존재하는 서비스(S3, SSM 등)를 이용하기 위해 아래와 같이 6개를 만들었다. S3 EC2 AMI 이미지의 경우 아래와 같은 순서로 만들었다. ..