모의해킹
- 모의해킹을 편하게 해주는 유용한 취약점(1) - 톰캣 관리자 페이지를 이용한 웹쉘업로드 2014.04.30
- [Secuholic 8th 보안 seminar 안내] 2013.08.20
- 공부용 프레임워크 & war game 사이트 2012.09.02
모의해킹을 편하게 해주는 유용한 취약점(1) - 톰캣 관리자 페이지를 이용한 웹쉘업로드
2014. 4. 30. 01:39
대부분의 WAS(JBOSS,톰캣 등) 은 관리(deploy, undeploy 등)를 편하게 하기 위한 관리자 페이지를 제공한다.
문제는 일반적으로 설치 계정을 그대로 사용하는 경우가 많다는 것이다. 대략적인 단계는 아래와 같다.
1) 기본 계정을 이용하여 WAS 관리자 페이지 접속
admin/공백
tomcat/tomcat
admin/manager
...
2) deploy 메뉴를 이용하여 웹쉘 업로드
3) 서버 쉘 권한 획득
4) local exploit 을 통한 root 획득
* 참고로 아래는 HPOM(HP Operation Manager) 모니터링 솔루션의 기본 계정 취약점이다.
ovwebusr / OvW*busr1 (http://www.security-database.com/detail.php?alert=CVE-2009-4189)
j2deployer / j2deployer (http://packetstormsecurity.com/files/cve/CVE-2009-4188)
'Pentesting' 카테고리의 다른 글
kali 한글 및 apt-get 에러 해결방법 (0) | 2016.08.25 |
---|---|
모의해킹에서의 파워쉘 활용 (0) | 2016.02.27 |
msfpayload 백신 탐지 우회 (2) | 2016.02.25 |
Metasploit 개발을 위한 문서&사이트 (0) | 2012.09.02 |
공부용 프레임워크 & war game 사이트 (0) | 2012.09.02 |
[Secuholic 8th 보안 seminar 안내]
2013. 8. 20. 21:40
공부용 프레임워크 & war game 사이트
2012. 9. 2. 13:44
공부용 프레임워크 & war game 사이트 입니다. 해봤던 것들도 꽤 있네요 ㅎㅎ
원본 : http://www.felipemartins.info/2011/05/pentesting-vulnerable-study-frameworks-complete-list/
Web Pentesting
War Games
Application Name | Company / Developer | URL |
Hell Bound Hackers | Hell Bound Hackers | http://hellboundhackers.org/ |
Vulnerability Assessment | Kevin Orrey | http://www.vulnerabilityassessment.co.uk/ |
Smash the Stack | Smash the Stack | http://www.smashthestack.org/ |
Over the Wire | Over the Wire | http://www.overthewire.org/wargames/ |
Hack This Site | Hack This Site | http://www.hackthissite.org/ |
Hacking Lab | Hacking Lab | https://www.hacking-lab.com/ |
We Chall | We Chall | https://www.wechall.net/ |
REMnux | REMnux | http://zeltser.com/remnux/ |
Insecure Distributions
Application Name | Company / Developer | URL |
Damm Vulnerable Linux | DVL | http://www.damnvulnerablelinux.org/ |
Metasploitable | Offensive Security | http://blog.metasploit.com/2010/05/introducing-metasploitable.html |
de-ICE | Hacker Junkie | http://www.de-ice.net/ |
Moth | Bonsai Security Software | http://www.bonsai-sec.com/en/research/moth.php |
PwnOS | Niel Dickson | http://www.neildickson.com/os/ |
Holynix | Pynstrom | http://pynstrom.net/holynix.php |
'Pentesting' 카테고리의 다른 글
kali 한글 및 apt-get 에러 해결방법 (0) | 2016.08.25 |
---|---|
모의해킹에서의 파워쉘 활용 (0) | 2016.02.27 |
msfpayload 백신 탐지 우회 (2) | 2016.02.25 |
모의해킹을 편하게 해주는 유용한 취약점(1) - 톰캣 관리자 페이지를 이용한 웹쉘업로드 (0) | 2014.04.30 |
Metasploit 개발을 위한 문서&사이트 (0) | 2012.09.02 |