웹 해킹 & 시큐어 코딩 (2)

MYSQL 초기 패스워드 변경

초기 패스워드는 apmsetup이다. 패스워드를 바꿔보도록 하자. 초기 패스워드대로 사용해도 문제 없지만, 변경하는 것이 좋으니 바꿔보자.

패스워드를 변경하기 위해 cmd 창을 킨다.

mysql -u root -p

를 cmd 창에 입력하면 패스워드를 입력하라고 한다. 초기 패스워드는 apmsetup이므로 apmsetup이라고 적으면 로그인이 성공된다.

 

비밀번호를 변경하기 위해 update 구문을 사용할 것이다. mysql database 안에 있는 user를 바꿀 것이다. set으로 변경할 것이다. 변경할 column인 password를 입력한 후,  password라는 함수가 지원되므로 password() 안에 바꾸고 싶은 패스워드를 입력한다. where 뒤에는 어떤 계정을 변경할 것인지로 바꾼다.

즉,

update mysql.user set password=password('crehacktive') where user='root';

를 입력하면 비밀번호를 바꿀 수 있다. 그러면 mysql 비밀번호를 crehactive로 바꾸게 된 것을 의미한다.

실제 운영중인 dbms에 적용해보자. 

flush privileges;

입력하면 적용된다.

다시 실행해보고 비밀번호가 맞는지 확인하면 정상적으로 된 것을 볼 수 있다.

다시 복습해볼 겸 비밀번호를 hongsi로 바꿔보았다.

 

취약 환경 구축

이건 그냥 수업에서 사용할 환경을 구축하는 것이라 그냥 강의에서 하라는대로 똑같이 하면 된다.

다운로드 받고... 비밀번호 설정하고... 실행이 잘 되는지 admin 계정을 만들었다.

참고로 admin 계정은

아이디: admin

비밀번호: admin

으로 설정해두었으니 까먹을리 없다. 비밀번호 빼고 나머지는 다 강의에서 하라는대로 똑같이 했으니 만약 착오가 있다면 강의를 다시 확인해보도록 하자.

 

버프스위트에서 원하는 요청, 응답만 인터셉트하는 방법과 설정 저장하기

burp suite를 실행해서 proxy > settings 로 들어간다.

request interception rules, response interception rules를 볼 수 있는데, 원하는 요청과 응답만 받으려면 이 설정을 건드려줘야 한다.

Add 버튼을 누르고, Match condition에 127.0.0.1을 입력하고 OK 버튼을 누른다.

이때 request, response 둘 다 해주어야 원하는 것만 받을 수 있다.

이제 Proxy > Intercept에 들어가서 Intercept on을 눌러준다. 그러면 원하는 응답, 요청만 받을 수 있다.

 

참고로, 127.0.0.1 외에 다른 주소도 받고 싶다면, Edit을 누른 후 입력한 창에 |를 포함하여 다른 주소를 또 작성해주면 된다.

예:

127.0.0.1|192.168.0.101

이런 식으로 말이다.

 

응답과 요청이 잡히는 것은 아직 내가 burp suite을 다루는 법을 잘 몰라 어떻게 하는지 모르겠다. 나중에 고능해지면 다시 티스토리를 써보도록 하겠다.