วันศุกร์ที่ 22 พฤศจิกายน 2024
Home » Internship » [Intern] DATAFARM Day 6

[Intern] DATAFARM Day 6

วันจันทร์ที่ 6 มิ.ย. 59 ก้าวเข้าสู่สัปดาห์ที่ 2 ของการฝึกงานแล้วสินะ

เช้านี้เริ่มด้วยงานเอกสารจ้าาา จัดการอัพเดตเอกสาร Vulnerability Assessment

2016-06-12_22-41-14

พัก Root Me ไปหลายวัน วันนี้ลองเล่นหมวด Web – Server อีกสักด่าน เกี่ยวกับ XPath injection – authentication ตอนแรกก็ไม่รู้จักหรอกว่า XPath Injection คืออะไร ชื่อไม่คุ้นข้ามไปก่อนละกัน แต่พอลองหาอ่านดู อ่าว..แทบไม่ต่างกับ SQL Injection เลย เทคนิคเดียวกัน แต่แค่ว่ามันนำไปประมวลผลคนละที่ แหม่..

20160606_133822_HDR

วันนี้วันจันทร์ แม่บ้านก็มาทำความสะอาดเช่นเคย แต่เที่ยงกว่าแล้วยังทำไม่เสร็จเลย จะออกไปทานข้าวเหมือนทุกทีก็ไม่ได้ เลยตัดสินใจกันว่า..เอาวะ!! วันนี้โทรสั่งเข้ามากินที่ออฟฟิศเลยละกัน ฮ่าา คือข้าวถุงนึงได้เยอะมาก ไม่รู้ถุงกีบาท นี่กินไปครึ่งถุงก็อิ่มละ 5555

2016-06-12_22-51-25

ตอนบ่ายได้งานใหม่ละจ้า พี่เขาให้เขียน Write-up ของ LAB XVWA เป็นสไลด์ PowerPoint ก็คือการเขียนเฉลยของแต่ละด่าน อธิบายเป็นขั้นเป็นตอนออกมาว่า ต้องทำอย่างไรบ้างจึงจะถือว่าเราเจาะผ่านช่องโหว่นั้นสำเร็จ แน่นอนว่า..ด่านแรกสุดคงหนีใครไปไม่ได้ นอกจาก SQL Injection พระเอกของเรา อิอิ

20160606_142621_HDR

20160606_142548_HDR

พอทำแบบ Manual โดยใช้พวก Burp Suite เป็นแล้ว พี่เขาก็เลยให้ลองหัดใช้ Tool เข้ามาช่วยดูบาง โดยมีโปรแกรมชื่อ sqlmap ที่จะช่วยให้การทำ SQL Injection เร็วขึ้น โดยที่เราแทบไม่ต้องมาลองกรอก Input ทีละแบบเองเลย ไหนโม้มาซะขนาดนี้ละขอลองหน่อยซิว่าจะเป็นไง ก็เลยไปลองใช้ sqlmap ที่มีใน Kali พอลองเสร็จผลลัพธ์ที่ได้คือ..ตัวโปรแกรมจะจัดการให้เกือบหมดเลย จนได้รหัสผ่านในตาราง users ออกมาเลย หรือแม้แต่ในกรณีที่ตัวรหัสผ่านถูก hash ไว้เป็น MD5 มันก็ดันฉลาดแปลงให้พร้อม เรียกได้ว่าเจ๋งจริง ๆ พะย่ะค่ะ

About Phonecyber 'Hack

Information Systems & Network Engineering #1 CMU

Check Also

[Intern] DATAFARM Day 39

วันอังคารที่ 26 …