Haword's blog

네 안녕하세요. Godhaword 입니다. 맨날 Lord Of SQL Injection(이하 los, 혹은 LOS) 정리해서 올려야겠다고 생각은 하는데 귀찮아서 안올리게 되더라구요. LOS의 앞 쪽 문제는 SQLI에 대한 기본 상식을 물어보는 문제들 입니다. 그래서 생각난 김에 한 번 진도 쫙 뽑아보겠습니다.

네 안녕하세요. Godhaword 입니다. 저번에 SQLI 관련 글을 쓰면서 큰 기초 뼈대 위주로 설명을 드렸습니다. https://godhaword.tistory.com/472 [WebHacking] SQLI(SQL Injection) 이란?(New) 네 안녕하세요. Godhaword 입니다. 원래 1주일에 하나 정도 쓸까 생각했는데 XSS 이야기 하면서 SQL Injection 이야기를 너무 비중있게 다뤘더라구요. 예전에 글을 썼던 2019년의 제가 생각하던 웹 해킹(We godhaword.tistory.com 아직 안보신 분은 일단 보고 오시는 것 추천드립니다. 뼈대가 되는 글은 썼으니 자세한 우회 방법도 한 번 정리해보려합니다. SQL Injection 원리나 기초도 모르고 우회부터 본다 한들 실..

네 안녕하세요. Godhaword 입니다. 원래 1주일에 하나 정도 쓸까 생각했는데 XSS 이야기 하면서 SQL Injection 이야기를 너무 비중있게 다뤘더라구요. 예전에 글을 썼던 2019년의 제가 생각하던 웹 해킹(Web hacking)의 꽃은 SQL Injection 이였습니다. 지금 저에게 웹 해킹의 꽃이 뭐냐고 물어보면 파일업로드 취약점, 즉 웹쉘(Web Shell) 업로드 후 이어지는 서버장악이라고 말할 것 같습니다. 그렇다고 막 XSS 때 말했던 XSS랑 SQLI 급으로 차이나냐 하면 그건 또 아니고 짬뽕, 짜장면 느낌으로 개인 성향에 따라 웹 해킹의 꽃이라고 생각하는 부분은 다를 것 같습니다. 실제 CTF나 실무 진단, 점검을 하며 느낀점과 아셨으면 하는 점도 글 내에서 잠깐잠깐 말씀 ..

네 안녕하세요. Godhaword 입니다. 원래 주말에 이번 글을 쓰려했는데 공휴일이기도 하고, 갑자기 삘 받아서 써봅니다. 개인적으로 가장 좋아하는 취약점이기도 하고, Web Shell 을 통한 높은 등급의 공격을 자유롭게 할 수 있는 장점이 있는 취약점이라고 생각합니다. 하지만 본인이 올린 Web Shell 은 타인도 사용할 수 있다는 점 꼭 알아두시길 바랍니다. 만약 본인이 힘들게 우회란 우회는 다 해가면서 CTF에 Web Shell 을 올렸다고 생각해봅시다. 만약 유추하기 쉬운 경로, Web Shell 이름이라면 다른 참가자가 본인이 올린 Web Shell 을 그냥 공짜로 쓰고 flag 까지 따가는 상황이 나올 수도 있습니다. 실무로 나아가게 된다면 다른 참가자가 아닌 악성 해커가 저희가 점검, ..

네 안녕하세요. Godhaword입니다. Web Hacking에 대한 것은 XSS부터 Sql injection 까지 한 번씩 정리한 적이 있는데요. 그 글을 쓴 지 약 2~3년 이란 시간이 지났습니다. 이 전에 글을 쓸 당시에는 학생이였으며 CTF나 wargame으로만 해당 지식을 접하며 응용해왔고, 지금은 실무경험도 쌓아보며 짧지만 저만의 노하우로 진단 및 점검을 하고 있습니다. 이번에 새롭게 쓰는 글은 제목에 New라고 추가하여 적으며, 전에 썼던 글을 크게 고려 안하고 그냥 지금 제가 생각하는 바를 새롭게 쓰기에 그것과 많이 겹칠 수도 아니면 결이 많이 다른 글이 써질 수도 있는 점 참고 부탁드립니다. 목차는 1. XSS (Cross Site Scripting) 란? 2. 3종류의 xss? 3. X..

이벤트 관련 이야기 잠깐 드리자면 톡방 분들이 쿠팡에서 제품을 구매하실때 제 링크를 사용하여 구매해주시면 나오는 리워드를 톡방 분들과 나누고자 합니다. 이벤트를 하게 된 계기 1. 항상 수고하시는 부방장 분들을 위한 작은 보상 2. 귀찮음에도 불구하고, 제 링크를 사용해주셔서 이벤트를 도와주신 분들을 위한 보상 3. 톡 방에서 열심히 활동해주시고 정보를 공유해주시는 분들을 위한 보상 4. 재밌게 방을 운영하고자 하였지만 그러지 못하였고, 그럼에도 불구하고 방에서 열심히 활동해주시는 분들을 위한 보상 5. 더 많은 분께 다양한 경험을 드리기 위하여 이 있습니다. 혹시라도 잘못된 방법으로 보상이 사용되는지 궁금하신 분들을 위하여 1:1 톡을 주시면 해당 과정에서 공유해드릴 수 있는 부분은 모두 open 하겠..

ㄴ

잠시 쉬었던 보안 관련 포스팅을 다시 재개할 예정입니다. LOS 풀이 방법을 통한 sql 인젝션 설명 글과 github에 있는 웹쉘문을 이용한 관련 응용 사용 방법에 대해 포스팅할 예정입니다.

여러 모니터 중에 고민하다가 이번에 오디세이 g7 32인치로 구매하게 되었습니다. 필립스 326m 과 이 제품 을 사이에 두고 고민하였는데요. 오디세이의 얇은 베젤과 게이밍 감성때문에 선택하게 되었습니다. 기본 스탠드가 아닌 모니터 암에 사용하느라 많이 애먹었습니다. 혹시 모니터 암을 생각중이신 분은 10kg 이상 하중 버티는 모니터암 추천드립니다. 8.2kg 라 해서 최대 장력 9kg인 제품으로 했더니 많이 빠듯한 느낌이 있습니다.

if (isset($_GET['view-source'])) {        show_source(__FILE__);        exit();}include("../lib.php");include("./inc.php"); // Database Connectedfunction getOperator(&$operator) {     switch($operator) {         case 'and':         case '&&':             $operator = 'and';             break;         case 'or':         case '||':             $operator = 'or';             break;         default:  ..

Basic ' '' ` `` , " "" / // \ \\ ; ' or " -- or # ' OR '1 ' OR 1 -- - " OR "" = " " OR 1 = 1 -- - ' OR '' = ' '=' 'LIKE' '=0--+ OR 1=1 ' OR 'x'='x ' AND id IS NULL; -- '''''''''''''UNION SELECT '2 %00 @variable @@variable AND 1 AND 0 AND true AND false 1-false 1-true 1*56 -2 1' ORDER BY 1--+ 1' ORDER BY 2--+ 1' ORDER BY 3--+ 1' ORDER BY 1,2--+ 1' ORDER BY 1,2,3--+ 1' GROUP BY 1,2,--+ 1' GROUP BY..