JiR4Vvit의 블로그

사용 툴: cygwin 1) 문제 홈디렉터리의 - 이라고 불리는 파일 안에 패스워드가 있다고 한다. 간단한 문제이므로 바로 문제풀이를 해보도록 하겠다. 2) 문제풀이 bandit1의 계정으로 로그인 한 뒤에 ls -al 명령어를 사용하여 파일 목록을 가져온다. 저기 소유자가 bandit2인 - 파일이 보인다. 명령에서 -은 옵션을 의미한다. 따라서 cat으로는 열 수 없다. 위 사실에 근거하여 우리는 아래의 방식으로 - 파일을 열 수 있다. cat ./- 참고로 .은 현재 위치를 뜻한다. 한마디로 현재 위치의 -파일을 열어본다는 의미가 된다. bandit2로 로그인에 성공해 확인해보니 저 문자열이 bandit2의 패스워드가 맞다는 것을 확인할 수 있었다. ssh -p 2220 bandit2@bandit...

https://jiravvit.tistory.com/entry/OverTheWire-Bandit-level0-level1 [OverTheWire: Bandit] level0 -> level1 사용 툴: cygwin 1) 문제 bandit1의 암호는 홈 디렉터리의 readme라는 파일에 저장되어 있다고 한다. 2) 문제풀이 일단 ssh를 사용하여 bandit0에 로그인을 하였다. 홈 디렉터리에 무슨 파일들이 있는지 알아보.. jiravvit.tistory.com 위 문제를 ssh 파일전송 프로토콜인 sftp를 사용하여 풀어보도록 하겠다. 사용 툴: cygwin sftp로 접속에 성공하였다. 포트번호를 입력할 때 옵션이 소문자 p가 아닌 대문자 P라는 것에 유의하자. 로그인에 성공했으면 또 ls -al 명령..

사용 툴: cygwin 1) 문제 bandit1의 암호는 홈 디렉터리의 readme라는 파일에 저장되어 있다고 한다. 2) 문제풀이 일단 ssh를 사용하여 bandit0에 로그인을 하였다. 홈 디렉터리에 무슨 파일들이 있는지 알아보기 위해 ls -al 명령어를 입력해보았다. 저기 바로 readme 파일이 보인다. cat 명령어를 이용하여 열어보자. 바로 bandit1의 암호가 떴다 ㄷㄷㄷ 다시 ssh를 이용하여 bandit1 계정에 접속을 하니 성공하였다. 확실히 bandit1의 계정으로 접속한 것을 확인사살하기 위해 whoami 명령어를 이용하였다. bandit1의 계정으로 접속된 것을 확인하였다. level0은 쉽게 풀 수 있었다.

리눅스 관련 워게임 bandit을 소개해보도록 하겠다. https://overthewire.org/wargames/bandit/ overthewire는 워게임 사이트로 다양한 종류의 워게임을 실습할 수 있다. 그 중에서도 나는 리눅스 관련 워게임 bandit을 소개해보도록 하겠다. 게임이 레벨식으로 있고, 다음 레벨로 넘어가 위한 비밀번호를 얻어야하는 워게임이다. bandit은 ssh로 구동이 된다. (위 사이트에서 왼쪽의 level0을 클릭 시 알 수 있음) 주소는 bandit.labs.overthewire.org이고 포트번호는 2220번이다. 보통 putty로 쉽게 아래처럼 접속할 수 있다. level0의 id는 bandit0이고 비밀번호도 bandit0이다. 이제 문제를 풀기 시작하면 된다! 실컷 ..

2020-02-16 네트워크 관리사 2급 필기 시험을 쳤다. 조금 뜬금 없다. 친 이유는 간단하다. 지난 학기에 학교에서 전공과목으로 '컴퓨터 네트워크'라는 과목을 배웠었다. 성적은 잘 나오지 못했지만 이때까지 배운 전공과목 중에서 제일 재미있었고, 더 공부를 하고 싶은 마음이 들었었다. 그래서 어떻게 더 공부해야하나 찾아보는 와중에 네트워크 관리사 자격증을 발견하였고, 바로 2급 필기 접수를 하였다 ㅎㅎ 필기가 43,000이고 실기가 78,000이었을 것이다. 사실 가격면으로 부담이 되는 시험이다. 왜 2급을 준비했냐면 네트워크 관리사는 2급이 공인이고 1급이 민간이었기 때문이다. 쨔잔 바로 합격을 하였다! 빠르게 내가 네트워크 관리사 2급 필기를 공부한 방법을 공유해보도록 하겠다. 시중에 파는 책이 ..

id : level3 password : can you fly? ls -al 명령어를 통해 현재 위치에 무슨 파일이 있는지 알아보았다. 저기 보면 hint가 있다 cat 명령어를 통해 hint의 내용을 살펴볼까? 코드가 나온다.. 사실 여기서 좀 많이 쫄았다. * 함수 설명 strcpy(a,b) : b를 a에 복사 strcat(a,b) : a 뒤에 b를 이어씀 system(x) : x의 값을 실행함 대충 함수는 이런 뜻이다. 다시 살펴보자면, 결론적으로 cmd 변수에 "dig @" + argv[1] + " version.bind chaos txt" 의 값이 들어가게 되고 system(cmd)를 통해 cmd의 값이 실행이 되게 된다. 참고로 argv[1]은 내가 입력한 값이다. 그럼 dig 명령어?는 뭘까..

문제 링크: http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim Puzzle #1: Ann’s Bad AIM – Network Forensics Puzzle Contest Anarchy-R-Us, Inc. suspects that one of their employees, Ann Dercover, is really a secret agent working for their competitor. Ann has access to the company’s prize asset, the secret recipe. Security staff are worried that Ann may try to leak the company’s forensicsconte..

포렌식이 뭘까? - 아날로그 시대에서 사용하는 범죄의 감식과 관련된 단어 - 범인의 유류품(담배 꽁초, 지문, 혈흔 등)과 범행도구(칼, 총, 등)을 수집하여 범인을 추적 그럼 디지털포렌식이 뭐지? - 디지털 기기에 남아 있는 디지털 증거물을 조사하여 사건을 규명하는 일련의 과정 - 디지털 증거물을 보존, 수집, 확인, 식별, 분석, 기록, 재현, 현출하는 것을 과학적인 방법으로 수행하는 과정 - 디지털 데이터의 특성을 보완하면서 데이터를 수집하고 분석하는 절차 또는 기술 - 디지털 포렌식의 유형: 디스크 포렌식, 라이브 포렌식, 네트워크 포렌식, 이메일 포렌식, 웹 포렌식, 모바일/임베디드 포렌식, 멀티미디어 포렌식, 소스코드 포렌식, 데이터베이스 포렌식, 안티 포렌식(스테가노그래피) 디지털 증거 - ..

마지막 멘토링이다.. XSS와 CSRF는 다들 많이 헷갈려하는 웹 취약점이다. 이번 기회에 나도 둘의 개념을 잘 잡고 가보려고 한다. 일단 공통점은, 쿠키만으로 인증하는 서 XSS(Cross-Site Scripthing) - 악의적인 사용자가 공격하려는 웹 사이트에 악성 스크립트를 넣는 기법을 말한다. - 공격에 성공하면, 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되며, 보통 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취한다. - 즉, XSS공격은 브라우저로 전달되는 데이터에 악성 스크립트가 포함되어 개인의 브라우저에서 실행되면서 해킹을 하는 것이며, 이 공격용 악성 스크립트는 공격자가 웹 서버에 구현된 웹 애플리케이션의 XSS취약점을 이용하여 서버 측 또는 URL에 ..

[수정] 20.05.11 - stateful, stateless 관련 내용 추가 쿠키가 뭔지 알려면 HTTP가 뭔지부터 알아야 할 것 같다. HTTP (HyperText Trasfer Protocol)? - Connectionless하고 Stateless하다. HTTP는 모든 사용자의 요청마다 연결과 해제의 과정을 거치면서 연결 상태를 유지하지 않는다. 물론 연결 해제 후에도 상태 정보를 저장하지 않는다. 이는 서버의 자원을 크게 절약할 수 있지만, 사용자를 식별 할 수 없어서 같은 사용자가 요청을 여러번하더라도 매번 새로운 사용자로 인식하게 한다. (Stateless한 성격) 하지만 실제로는 어떨까? 우리가 사용하는 웹사이트를 보면 로그인을 최초로 하고 나면 그 이후로부터 다시 로그인할 필요가 없는 경..