owasp 실습(WackoPicko)

Web hacking|2020. 12. 7. 14:34

 

WackoPicko 들어가기

 

 

 

 

 

 

 

burp suite 잡기

 

 

 

로그인하고()

 

tak.php 파일 업로드한뒤 burp suite 잡기

 

image/png로 변경

 

 

 

여길보면 upload 라는곳에 된다는것을알수있다 들어가보자

 

 

 

 

 

 

 

 

 

 

 

------------------------------------------

 

 

 

 

 

 

------------------------------------

 

 

 

 

이런식으로 팝업 창이뜬다.

 

---------------------------------------------------------------

 

 

 

 

--------------------

 

 

댓글스크립트삽입

 

 

 

악성 script 삽입 .

 

<img src=# onerror=alert('aa')>

이런식으로 공격가능

 

 

 

 

 

 

netxt

 

 

 

 

 

 

 

 

---------------------------------

 

 

 

 

 

-------------------------------------

 

 

 

 

 

공격 성공.

 

 

 

 

 

----------------------------------------------------------------------------

 

 

 

 

 

 

 

 

-------------------------------------------------------------------------------------

sql map

 

 

 

 

 

이것이 되면 sql 이 먹힌다는의미

 

 

 

하지만 post 방식

 

 

바탕화면에저장

 

 

python sqlmap.py -r  파일이름 --batch

 

 

 

같은 파일에 넣은뒤에

 

 

sqlmap 

-r 123 이런식으로

명령어주고 

 

계속찾아보기.

'Web hacking' 카테고리의 다른 글

owasp 실습(bwapp) -1 (SQL injection blind boolean based)  (0) 2020.12.08
oswasp 실습(BodgeIt)  (0) 2020.12.07
owasp 실습 (peruggia)  (0) 2020.12.07
파일업로드 취약점,소스코드공개될때 가능한취약점  (0) 2020.12.01
웹해킹 파일업로드 취약점  (0) 2020.12.01

댓글()

티스토리툴바