Hacking/war-game (16) 썸네일형 리스트형 OTW: Bandit level 13 -> level 14 (힌트) 요즘 수업과 자격증 공부 떄문에 너무 바빠서 워 게임을 풀 정신이 없었다. 그래도 오랜만에 여유로운 토요일에 간단한 밴딧 문제 하나를 풀었다. "패스워드는 /etc/bandit_pass/bandit14에 저장되어 있지만 bandit14의 계정으로만 읽을 수 있다. 하지만 SSH 키를 통해 bandit14계정에 접속 할 수 있다." 보아하니 비밀키와 ssh 명령어를 이용해서 bandit14 계정에 접속해 /etc/bandit_pass/bandit14를 읽어서 로그인하면 성공인 것 같다. 우선 'man ssh' 명령어를 통해 ssh의 자세한 매뉴얼을 살펴보자. 보니까 -i 옵션을 붙여주면 특정한 파일(비밀키)을 ssh로 접속할 때 읽어서 인증을 할 수 있다고 적혀있다. bandit13 계정으로 접속해 보니 .. OTW: Bandit level 7 -> level 12 (힌트) OTW를 풀 때 한 문제 당 하나씩 포스팅했는데 너무 비효율적인 것 같아서 앞으로는 하루 목표치로 푼 것까지 한꺼번에 포스팅하려고 한다. Level 7 -> 8 비번은 data.txt 파일 안에 있고, millonth라는 문자열 옆에 적혀있다고 한다. 힌트는 원하는 문자열을 찾아주는 grep 명령어 Level 8 -> 9 비밀번호는 data.txt 파일 안에 있고 반복적인 문자열이 아니라 패턴이 없는 유일한 문자열이란다. 힌트는 문자열을 정렬해주는 'sort' 명령어와 중복된 내용을 제거하고 출력해주는 'uniq' Level 9 -> 10 비밀번호는 data.txt 파일 안에 있지만, 사람이 읽기 어렵고 2개 이상의 '=' 문자들 앞에 적혀있다고 한다. 힌트는 파일의 문자열 인코딩 형식을 알려는 file.. OTW: Bandit level 6 -> level 7 (힌트) 주어진 조건에 맞춰 파일을 찾는 문제이다. 조건 1. 파일의 소유자는 bandit7 2. 소유 그룹은 bandit6 3. 파일의 크기는 33bytes 주어진 조건들에 맞는 파일을 찾기 위해서는 나는 find 명령어를 사용했다. find -user [소유자 명] + find -group [그룹 명] + find -size [파일크기] 3개의 옵션(-user, -group, -size)를 출력 옵션인 -print와 잘 조합해서 명령어를 작성하면 조건에 맞는 리스트들이 나오고 유일하게 권한이 허용된 파일을 cat 명령어로 출력하면 비밀번호가 나온다! 주의!!!!Notice!!!!! OTW의 공식 문서에 따르면 OTW는 정답 유출을 금지한다. 때문에 나는 힌트만 올릴 것이다. 나머지는 알아서. I post on.. DVWA와 Burp Suite를 이용한 Brute Force 실습 DVWA는 php로 작성된 워 게임 웹 애플리케이션이다. 총 4단계의 난이도가 있고 자신의 실력에 맞게 조절해가며 공격자가 다양한 공격 기법을 테스트할 수 있다. https://dvwa.co.uk/ DVWA - Damn Vulnerable Web Application dvwa.co.uk 우선 리눅스 터미널로 들어가 su 명령어로 루트 계정으로 전환하자. sudo /opt/lampp/manager-linux-x64.run 명령어로 xampp를 실행시키고 Apache Web Server와 MySQL Database를 Staaaaaaaaaaaaaaaaart 그리고 칼리 리눅스에 내장된 Burp Suite를 실행 Proxy 탭에서 Open browser를 누르자 localhost/dvwa로 접속한다 그럼 다음과.. 내가 만든 간단한 해킹 워게임 페이지 https://mojitolimedouble.github.io/pass-this/ Can you pass this? WHASSUP Why don't you give up? mojitolimedouble.github.io can you pass this? HTML 버튼이 안 눌릴때 대충 이런 페이지를 만들어봤다. 버튼이 활성화되지 않는 게 보인다. 이럴 때는 개발자 도구 F12 ㄱㄱ 어머 disabled라는 속성이 있네~ 바로 컷 지우니까 바로 활성화되었다. 끝. root-me @ HTML - Source code (힌트) HTML과 관련된 문제이다. 매우 쉬우니 빠르게 넘어가겠다. HTML 소스 코드는 개발자 모드를 누르면 바로 나오게 된다. 지금 보고 있는 이 페이지도 한번 F12키를 눌러서 확인해보자. 그럼 바로 소스 코드가 쫙하고 나온다. 이게 문제의 포인트다. 대충 이런 html 파일을 내가 만들었다. 개발자 모드로 소스코드를 확인했지만, 아무 이상한 점이 없다. 그리고 아무 비밀번호나 계속 눌러봤지만 반응이 없다. 근데 진짜? 이상한 게 아무것도 없을까? 숨겨진 form 태그를 여니 "비밀번호는 123" 이라고 적혀있다. 엥 근데 왜 웹 브라우저 화면에서는 나오지 않지? 바로 태그는 주석(comment) 태그 이기 때문에 절대 웹 브라우저 화면에는 출력되지 않는다. 자 비밀번호도 알았고 문제 해결 끝. 주의!!!.. root-me(루트-미) IRC 프로토콜 환경 구축 하기 (리눅스 기준) 다양한 해외 워게임 사이트들 중에 root-me라는 사이트가 있다. [Root Me : Hacking and Information Security learning platform] met someone not long ago that ended up moving in and being my roommate, he used to fraud people for a living and I need to find a way to get some payback so I’m looking to learn a few things in hacking! Someone help! www.root-me.org 해킹에 관한 문제가 많이 있는 사이트임에도 불구하고 아는 사람만 알고 잘 알려지지 않은 이유는 일단 프랑스어 기반 .. 이전 1 2 다음
