728x90

일단 홈페이지를 만들려면 PHP에 대해서 알아야된다. 물론 이 글을 읽는 사람들중에는 그정도는 다 알수도 있겠지만 일단 대충 집어본다.

 

 

D:\AutoSet10\public_html라는 디렉토리를 볼 수 있을것이다. 물론 C드라이브에 설치를 했으면 D를 C로 바꾸면 된다. 저 디렉토리는 아파치 웹 서버의 홈 디렉토리다. 설치를 다른곳에 했으면 오토셋을 열고 제어에 보면 홈 디렉토리 열기라는 버튼이 있을것이다.

 

 

디렉토리 안을 보면 index.php라는 PHP파일이 있다. URL의 끝이 파일이 아니라 디렉토리 형식으로 접근하는 경우에는 DirectoryIndex 옵션에 지정된 파일을 먼저 찾는다. 지금 보는 디폴트 웹 페이지가 실제로는 http://localhost/index.php의 경로를 가지지만 기본 설정 때문에 http://localhost라는 디렉토리 형식으로 접근해도 자동으로 index.php가 인식된다.

 

 

이제 각자 사용하는 에디터로 index.php를 열고 안에 모든 내용을 지운 다음 위와같이 입력해보자. 모든 프로그래밍 언어를 시작할때 처음 출력해보는 Hello World이다. 저렇게 치고 저장을 한 뒤에 홈페이지를 들어가보자.

 

이로써 가장 간단한 출력하는것을 배우게 된것이다.

'Programming > Web' 카테고리의 다른 글

홈페이지 제작 - 오토셋 설치  (0) 2018.01.29
728x90

웹해킹을 배워서 이제 한번 써보고 싶은데 공격하기에 마땅한 홈페이지가 없어서 고민인 사람들이 많다. 나도 그런 사람들중 한명이라서 직접 그냥 홈페이지를 만들기로 했다.

 

http://autoset.net/xe/여기를 들어가서 오토셋 10.7.0.1을 다운받는다. 물론 옛날버젼의 PHP를 사용하고 싶으면 9.1버젼을 다운받으면 된다. 그러나 나는 php7의 사용법도 익힐겸 그냥 최신버젼으로 받았다. 운영체제가 있는 드라이브는 피해서 설치하는것이 좋다

 

 

그리고 이렇게 웹서버와 MySQL을 켜준다. 일단 제대로 작동을 하는지 먼저 알아보자. http://localhost로 접속해보자.

 

 

이런 화면이 뜨면 정상적으로 작동을 하고 있는것이다.

 

 

밑부분에 보면 각각의 버젼이 나온다. 명심해야될건 PHP7을 쓴다는것이다. 이제 에디터를 설치해야된다. 나는 이후 포스팅에서 EditPlus라는 에디터를 쓸것이다.

 

 

'Programming > Web' 카테고리의 다른 글

홈페이지 제작 - PHP를 이용하여 출력하기  (0) 2018.01.29
728x90

NoSQLMap 설치하는법

https://github.com/codingo/NoSQLMap에 나와있는데로 따라하면 된다.

 

NoSQLMap의 기능

 

 

 

NoSQLMap을 시작하면 나오는 화면이다. 1번을 선택하면 옵션을 세팅할수있다. 1번을 한번 선택해보자.

 

 

 

여러가지 옵션들을 세팅할 수 있다. 일단 1번을 보면 타겟의 호스트나 IP를 설정할 수 있다. 공격하려는 대상 웹서버나 MongoDB의 host나 IP를 세팅해주면 된다. 2번은 웹 어플리케이션 포트를 설정하는 것인데 웹 어플리케이션이 공격하려는 대상인 경우에 웹 어플리케이션의 TCP포트를 설정해준다. 그리고 3번은 URI 경로설정이다. 페이지 이름과 매게 변수를 포함하지만 호스트 이름이 아닌 URI의 일부를 적는곳이다. 예를들면 /app/acct.php?acctid=102같은게 있다. 4번은 HTTPS를 켜고 끄는것이다. 4번 같은 경우에는 꺼져있을 경우 치면 켜지고 반대로 켜져있을때 치면 꺼진다. 5번은 MongoDB의 포트를 설정해주는 것이고 6번은 HTTP요청 방법을 설정한다. 7번은 로컬 MongoDB랑 Shell의 IP를 설정하는 것이다. MongoDB 인스턴스를 대상 Mongo 설치의 IP로 직접 공격하여 대상 데이터베이스를 복제하거나 Meterpreter 셸을 열려면 이 옵션을 설정하면된다. 8번은 쉘 listner 포트를 설정하는 것이다. Meterpreter 셸을 여는 경우 포트를 설정하면 된다. 9번은 Verbose mode를 끄고 켜는 것이다.

 

 

이제 Scan for Anonymous MongoDB Access에 대해 알아보자. NoSQL DB Access Attacks과 NoSQL Web App attacks은 그냥 누르면 아까 설정했던 곳으로 공격이 실행되는것이라 딱히 볼게 없다. Scan for Anonymous MongoDB Access를 사용하기 위해 4번으로 들어가면 위의 화면처럼 뜬다. 이건 근데 언어 그대로 누르기만 하면 된다.  

 

 

마지막으로 Change Platform (Current: MongoDB)를 한번 들어가보자. 들어갔더니 아직은 저거 두개밖에 지원을 안하는것같다. CouchDB로 바꾸고 세팅을 들어가면 바껴있을까 궁금해서 한번 해보았다.

 

 

MongoDB에서 바껴있다. 그래도 벌써 두개나 지원하는게 좋은것같다. 일단 이렇게 기본적인 기능만 겉핥기식으로 봤다. 나중에 직접 MongoDB를 기반으로 만들어서 거기 공격을 해보는걸 포스팅 해야겠다.

 

 

참고자료

https://www.darknet.org.uk/2017/08/nosqlmap-automated-nosql-exploitation-tool/

https://github.com/codingo/NoSQLMap

 

 

'Hacking > Tool' 카테고리의 다른 글

yafu  (0) 2018.02.09
gdb-peda  (0) 2018.01.09

+ Recent posts

티스토리툴바