2020/04(7)
-
쉘 스크립트 기본 문법 4 (break, continue, 함수선언)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 #! /bin/bash #1 select name in john bob tom do case $name in john ) echo "Hey, John!" ;; bob ) echo "Hey, Bob!" ;; tom ) echo "Hey, Tom!" ;; esac done #2 for (( i=0; i> $file fi else echo "File does not exist" fi } if [ $..
2020.04.30 -
쉘 스크립트 기초 문법 3 (while, for)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 #! /bin/bash #1 while loop num=0 while [ $num -le 10 ] do echo $num #(( num++ )) #$(expr $num + 1 ) num=$(( num+ 1 )) done #2 함수의 인자로 파일의 내용을 받아서 출력한다. while read line do echo $line done
2020.04.30 -
쉘 스크립트 기초 문법 2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 #! /bin/bash #1 echo -e "Type any number here (0~9): \c" read num case $num in [0-9] ) echo "You typed a correct charcter" if [ $num -ge 0 ] && [ $num -le 9 ] then echo "Great!" fi ;; [a-z] ) echo "$num is wro..
2020.04.30 -
쉘 스크립트 기초 문법 1
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 #! /bin/bash #1 echo -e "Enter your name : \c" read name echo $name #2 echo -e "Enter fruits : \c" read -a fruits echo ${fruits[0]} echo ${fruits[1]} echo ${fruits[2]} #3 echo $0 $1 $2 $3 #4 num=10 name='eunhwan' file='test.txt' if [ $num -gt 0 ] then echo "$num is grater than 0" else e..
2020.04.30 -
OWASP Juice shop Difficulty 3
회원 가입시 서버에서 오는 응답 데이터중에 사용자의 역할을 지정하는 파라미터가 존재한다. role:"admin" 데이터값을 전송 피드백을 남기는 경우 사용자 고유의 ID값을 사용하는데 이를 이용해 다른 사용자인척 할 수 있다. 상품을 장바구니에 추가할 때 basket ID를 사용하여 장바구니를 지정한다. 해당 변수값을 override하여 수정한다. Stored XSS 회원 가입시 사용자명에 자바스크립트 코드를 삽입하였다. 관리자가 회원 관리 페이지에 접속할 때 사용자명에 저장된 자바스크립트 코드가 실행된다. DOM XSS 컴프레인 요청 페이지에서는 pdf, zip파일만을 업로드할 수 있다. xml파일을 업로드하면 에러 응답을 수신하는데 응답 페이지에 DOM XSS취약점으로 인해 system.ini 또는 ..
2020.04.28 -
OWASP Juice shop Difficulty 2
쇼핑 리스트를 확인할 때 페이지의 저장소 bid값이 저장된다. 해당 값을 변경하고 페이지를 요청하면 다른 사용자의 리스트를 확인할 수 있다. 서버에 피드백을 남기는 과정에서 파일을 업로드하는데 이 때, xml파일을 업로드할 수 있는 취약점이 존재하고 있다. HTML소스코드를 톻해서 확인할 수 있다. 악성 XXE 소스코드는 다음과 같이 작성할 수 있다. xxe payloads github을 구글링해서 수많은 페이로드를 확인할 수 있다. 로그인 과정에서 SQL injection을 통해 관리자 계정을 획득할 수 있다. 관리자 페이지에서 별5개짜리 피드백을 제거한다. 관리자 계정을 알고 있을 때 burp suite을 활용하여 브루트 포스 공격을 실행하여 패스워드를 알아내자 공격 과정은 다음과 같다. 1. 로그인..
2020.04.24