Smile :D

이번에 LINUX 공부를 시작하면서 LINUX 설치부터 차근차근 시작하려고합니다.

ISO는 SULINUX2.0을 사용했어요. http://sulinux.net 이 사이트에서 다운받으실수 있습니다.

자 그럼 VM은 기본적으로 가지고 있다는 전제하에 설치를 시작하겠습니다.

Version은 Other Linux 2.6.x kernel

ENTER CLICK...

맨 위에 있는 Remove all partitions on selected... 를 선택하고 Tab 키로 OK까지 내려가 OK를 클릭하시면됩니다.

YES

NO

YES

여기선 원래 Activate on boot 만 체크가 되어있는데요

Space bar를 이용해서 Enable IPv4 support와 IPv6 모두 체크 해주고 OK를 누릅니다.

OK

OK

암호는 6자이상을 쓰셔야 하므로 6자를 입력해 줍니다.

정상적으로 설치 중입니다..

설치가 완료 되었고요, Reboot 시키시면 됩니다.

설치가완료되었습니다 기다리시면

localhost login 에 root 관리자 권한을 치시고

password는 아까 위에 패스워드를 설정한걸 치시면 됩니다.

패스워드는 입력해도 뜨지않습니다.

저 사진도 패스워드를 입력한 상태입니다.

입력을 하고 로그인한 모습입니다.

이로써 LINUX2.0 설치와 로그인까지 완료되었습니다.

SQL Injection 종류에 대해서 먼저 알아봅시다.

----------------------------------------------------------------------

1) 논리적 에러를 이용하는 SQL Injection

-> 논리적 에러를 통해 시스템 권한 체크를 우회하는 기법

예)

select * from user_data where last_name = 'your name' or '1=1'

-------------------------------------------------------------------------

2) 쿼리 가능 여부를 이용하는 Blind SQL Injection

-> 악의적인 문자열 삽입 대신 쿼리 결과에 따라 정보를 취득하는 기법

예1)

http://www.xxx.com/page.php?id=5 and 1=1

-> id=5(참) and 1=1(참) 이기 때문에 page.php?id=5 페이지가 보임

예2)

http://www.xxx.com/page.php?id=5 and 1=2

-> id=5(참) and 1=2(거짓) 이기 때문에 쿼리가 실행 안되므로 아무런 결과가 없어야 한다

----------------------------------------------------------------------------

3) 두 개 이상의 쿼리를 이용하는 Union SQL Injection

-> UNION은 2개 이상의 쿼리를 요청하여 결과를 얻는 SQL 연산자이다.

공격자는 이를 악용하여 추가 쿼리를 삽입하여 정보를 얻어내는 방식

예)

http://www.site.com/news.php?id=5 union all select 1,table_name,3 from information_schema.tables

-> information_schema.tables 에서 테이블 정보를 요청하여 정보를 얻으려는 시도.

-----------------------------------------------------------------------------

4) 저장 프로시저를 이용하는 Stored Procedure SQL Injection

-> 저장 프로시저는 운영상 편이를 위해 만들어둔 SQL 모음집.

특히 MSSQL에서 사용하는 xp_cmdshell은 윈도우 명령어를 실행하도록 역할을 제공

예)

http://www.site.com/member/checkid.asp?id=';CREAT.....r.dbo.xp_cmdshell%20'netstat%20-an';