'분류 전체보기' 카테고리의 글 목록 (9 Page) - For Information Security

To infinity and beyond! 해당글 (204)

[ Python ] 변수와 상수

Python 변수, 상수 변수 - 파이썬은 선언이라는 부분이 없기 때문에 반드시 변수를 지정해 줘야 합니다. 반드시 지켜야 하는 규칙 - 변수의 이름은 반드시 문자로 시작해야 한다. (숫자나 특수 문자로 시작할 수 없습니다.) - 변수에 특수 문자는 사용할 수 없습니다. 단, _(언더 바)는 중간에 삽입이 가능합니다. - 예약어는 사용할 수 없습니다. (=built _in_function : print() , type() 등등 이미 사용되는 문자. 이런 문자는 보라색으로 출력 된다.) ※ 변수를 지정할 때 변수의 이름이 보라색이나 주황색(빨강)이 나온다면 쓸 수 없습니다. 검은색으로 나온다면 지정 가능 암묵적인 규칙(반드시 지키지 않아도 실행하는데 문제는 없다. 하지만 프로그래머 간의 약속) - 변수의 ..

OverTheWire: bandit11

※ 레벨에 대한 정확한 비밀번호를 알려드리지는 않습니다. 힌트와 해결과정을 포스팅하려고 합니다.※ 최대한 스스로 풀어보시기를 권장합니다. http://overthewire.org(링크) 주어진 힌트 ↑다음 레벨의 힌트는 data.txt 파일에 저장되어있다. # data.txt 파일은 소문자 ( a -z ) 와 대문자 ( A-Z ) 가 13글자씩 밀려서 만들어진다고 한다. # Rot 13 암호화 방식에대한 개념이 선행되어야한다. Rot 13은 단순한 카이사르 암호의 일종으로 영어 알파벳을 13글자씩 밀어서 만든다. 예를 들어서 ' I LOVE YOU'를 ROT13으로 암호화 한다면 'V YBIR LBH'가 된다. ( I → V : 알파벳순으로 13번 이동한다.) 문제 분석 ↑ data.txt 파일을 보고 ..

OverTheWire: bandit10

※ 레벨에 대한 정확한 비밀번호를 알려드리지는 않습니다. 힌트와 해결과정을 포스팅하려고 합니다.※ 최대한 스스로 풀어보시기를 권장합니다. http://overthewire.org(링크) 주어진 힌트 ↑ 주어진 힌트는 다음 레벨의 비밀번호는 data.txt에 저장되어 있다고 합니다. # base64로 인코드된 데이터를 포함하고 있다고 합니다. # base 64란? 인코딩 방식 중 하나이다. 데이를 64종류의 인쇄 가능한 숫자만을 이용하여 인코딩하는 방식으로, 그 외의 문자를 처리할 수 없는 통신 환경에서 멀티바이트 문자나 이진 데이터를 처리하는 것을 목적으로 한다. 문제 파악 ↑ bandit10 >> data.txt의 내용 # 알 수 없는 문자열로 되어있다. # 아직까지는 다음 레벨의 키를 얻을만한 단서가..

SHA-1, 더이상 안전하지 않아..

SHA-1, 더이상 안전하지 않아Announcing the first SHA1 collision HASH 함수는 대량의 데이터를 고정 길이의 의사난수를 생성하는 연산기법으로, 브라우저 보안, 코드 라이브러리 관리, 무결성 체크 등 다양한 방면에서 사용되고 있습니다. 하지만 기술이 발전함에 따라, 몇몇 해쉬함수는 더이상 안전하지 않게 되었습니다. SHA-1은 채택된지 10년만에, 처음으로 취약점이 제기되었습니다. 그 후 CWI Amsterdam과 Google의 공동 연구 끝에 SHA1 해쉬충돌을 성공시켰습니다. 이는 즉 SHA-1은 더이상 안전한 알고리즘이 아니며, 그렇기 때문에 더 이상 사용되면 안된다는 것을 뜻합니다. Google은 몇년동안 SHA-1을 폐기해야 한다고 주장해왔으며, 2014년 Chro..

해커스쿨 FTZ level4

※ 레벨에대한 정확한 비밀번호를 알려드지는 않습니다. 힌트와 해결과정을 포스팅하려고합니다.※ 이 게시물은 시스템에대한 폭넓은 이해를 돕기위함이며, 이 게시물을 악용하여 발생한 피해는 책임지지 않습니다.※ 최대한 스스로 풀어보시기를 권합니다. 레벨1에서는 로컬 백도어를 배웠다. 하지만 로컬 백도어 보다는 당연히 원격 백도어가 훨씬 공격자에게는 편리한 백도어이다. 이번 레벨에서는 리눅스 서버의 네트워크를 이용하는 백도어에 관한 문제이다. 주어진 힌트 ↑ 힌트를 보며 /etc/xinetd.d/에 배고어를 심어 놓았다고 되어있다. /etc/xinetd.d/ 에 이있는 백도어라면 레벌1에서본 로컬 백도어와는 다른 네트워크를 이용한 서비스 포트와 관련되 포트임을 알아야한다. 이름에서 알 수 있듯이 포트 백도어는 로..

해커스쿨 FTZ level3

※ 레벨에대한 정확한 비밀번호를 알려드지는 않습니다. 힌트와 해결과정을 포스팅하려고합니다.※ 이 게시물은 시스템에대한 폭넓은 이해를 돕기위함이며, 이 게시물을 악용하여 발생한 피해는 책임지지 않습니다.※ 최대한 스스로 풀어보시기를 권합니다. ↑ level3 디렉토리 안에 있는 hint의 내용을 살펴 봅시다. ↑ hint에대한 코드를 분석 해봤습니다. ↑ hint에서 주어진 autodig라는 파일의 이름이나, 레벨1과 레벨2에서 했던 것과 같이 파일의 권한으로 level3의 취약한 파일을 찾을 수 있습니다. # 이렇게 공격할 파일 "autodig"를 찾았습니다. ↑ hint에서 알 수 있듯이 autodig를 사용할 때 " " (더블 쿼터)를 이용해서 문자열 형태로 명령어를 전달할 수 있습니다. ↑ syst..

OverTheWire: bandit 9

※ 레벨에대한 정확한 비밀번호를 알려드지는 않습니다. 힌트와 해결과정을 포스팅하려고합니다.※ 최대한 스스로 풀어보시기를 권합니다. http://overthewire.org(링크) 주어진 힌트 ↑홈페이지 hint를 주의깊게 읽으셔야 합니다. 다음 레벨의 비밀번호는 data.txt 안에 있다고 합니다. # 읽을 수 있는 문자열 이라고 합니다. # 특수 문자 '='로 시작한다고 합니다. 문제 파악 ↑data.txt 파일을 확인해보니 알 수 없는 글들이 나열되어 있습니다. # 이런 파일들이 바이너리 파일임을 파악하시면 쉽게 문제를 해결할 수 있습니다. # 바이너리 파일임을 파악하기 보다는 주어진 명령어 힌트로 바이너리 파일임을 추측하는게 맞는 방법 같습니다. → strings, xxd.. 문제 해결 ↑strin..

OverTheWire: bandit 8

※ 레벨에대한 정확한 비밀번호를 알려드지는 않습니다. 힌트와 해결과정을 포스팅하려고합니다.※ 최대한 스스로 풀어보시기를 권합니다. http://overthewire.org(링크) 주어진 힌트 ↑주어진 힌트는 역시 다음 레벨의 키는 data.txt안에 있는데, 오직 한줄에서만 보여준다고 합니다. # 당장 힌트가 이해되지 않아도, 직접 문제를 보면 이해가 될 수 도 있습니다. 문제 파악 ↑data.txt파일 안에 내용을 한번 보면 ↑역시 수 많은 문장들로 채워져 있습니다. # 힌트와 이 여러문장을 연관지어 생각해보면, 여기에 중복된 문장이 있고, 중복되지 않은 하나의 문장이 키 일 수 있다고 생각해 볼 수 있습니다. # 명령어 hint에서도 주어졌지만, 여기서 sort명령어와, uniq명령어의 쓰임을 알아야..

OverTheWire: bandit 7

※ 레벨에대한 정확한 비밀번호를 알려드지는 않습니다. 힌트와 해결과정을 포스팅하려고합니다.※ 최대한 스스로 풀어보시기를 권합니다. http://overthewire.org(링크) 주어진 힌트 ↑홈페이지 hint를 주의깊게 읽으셔야 합니다. 다음 레벨의 비밀번호는 data.txt 안에 있다고 합니다. # millionth 이라는 단어 옆에 있다고 합니다. 문제 파악 ↑bandit7에 접속하면, ls 명령어를 통해 data.txt 파일이 있음을 알 수 있습니다. # cat 명령어를 사용해 봅시다. ↑수많은 내용이 쏟아져 나옵니다. # 여기서 우리는 hint를 참고해서 다음레벨의 키가 'millionth'라는 문자열 옆에 있음을 알 수 있습니다. 문제 해결 ↑grep명령어를 을 이용해서 파일안의 내용을 검색할..

해커스쿨 FTZ level2

※ 레벨에대한 정확한 비밀번호를 알려드지는 않습니다. 힌트와 해결과정을 포스팅하려고합니다.※ 이 게시물은 시스템에대한 폭넓은 이해를 돕기위함이며, 이 게시물을 악용하여 발생한 피해는 책임지지 않습니다.※ 최대한 스스로 풀어보시기를 권합니다. - level2는 VI 편집기 기능 가운데 파일열기, 파일 닫기(저장), 문자열 검색, 문자열 변경, 커서 이동, 페이지 이동 같은 기능 이외에 VI에서 제공하는 고급 기능 이상을 구사할 수 있어야 한다. ↑ vi편집기를 사용하는 중 쉘의 명령을 사용할 수 있다고 한다. ↑ aaa라는 파일을 임의로 만들고 vi편집기 중에 명령어를 사용해 보려고한다.#":!명령어" 형식으로 명령어를 실행하면 쉘 화면으로 일시적으로 복귀하면서 입력한 명령어를 실행할 수 있다. ↑ ls ..

OverTheWire: bandit 6

※ 레벨에대한 정확한 비밀번호를 알려드지는 않습니다. 힌트와 해결과정을 포스팅하려고합니다.※ 최대한 스스로 풀어보시기를 권합니다. http://overthewire.org(링크) ↑홈페이지의 힌트를 참고하면, 다음레벨의 패스워드는 서버 어딘가에 있다고합니다. 그리고 다음과 같은 특징을 가지고 있다고합니다.(properties:- owned by user bandit7 - owned by group bandit6 - 33 bytes in size) ↑로그인후 clear 명령으로 터미널을 한번 정리해주고, ls 명령어와 ls -ll 명령어를 쳐봤지만 역시나 아무런 파일이 없다고 합니다.그렇다면 다음레벨의 비밀번호를 가진 파일이 이 서버 어딘가에 있다는 뜻인데, 모든 디렉토리의 파일들을 하나하나 뒤져서 찾기는..

OverTheWire: bandit 5

※ 레벨에대한 정확한 비밀번호를 알려드지는 않습니다. 힌트와 해결과정을 포스팅하려고합니다.※ 최대한 스스로 풀어보시기를 권합니다. http://overthewire.org(링크) ↑ bandit5는 bandit4와 마찬가지로, inhere디렉토리 어딘가에 키를 담고 있는 파일이 있습니다. 이 파일을 찾을 때 쓸 수 있는 힌트도 주어졌습니다. (-human-readable-1033 byte in size-not excuteable 라는 정보를 파일이 담고 있습니다.) ↑ 이번에는 inhere안에 수 많은 디렉터리가 있어서, 내용을 좀더 자세히 봤더니 더 많은 파일들이 있습니다.하나하나 열어보는 방법도 있지만, 끊김도 심하고 시간낭비이므로 주어진 힌트를 사용해 find명령을 사용하면 좋을것 같습니다. ↑ f..

OverTheWire: bandit 4

※ 레벨에대한 정확한 비밀번호를 알려드지는 않습니다. 힌트와 해결과정을 포스팅하려고합니다.※ 최대한 스스로 풀어보시기를 권합니다. http://overthewire.org(링크) ↑ 다음레벨의 패스워드는 inhere 디렉터리안 파일 어딘가에 있다고 합니다. tip: 터미널이 지저분해지면 "reset 명령어를 이용하면 된다고합니다." ↑ bandit4에 접속한뒤에 ls 명령어를 통해 보면 " inhere " 이라는 디렉터리가 있습니다. 이 디렉토리 안에 들어가서 다시한번 ls 명령어를 쓰시면 10개의 파일이 나옵니다. ↑ 파일의 내용을 살펴보면 알 수 없는 문자들이 난잡하게 보여지고 있습니다. 10개의 파일이라 하나씩 본다면 금방 모든 파일의 내용을 볼 수 있을 것 같습니다. # -(대쉬)파일은 꺽쇠를 이..

OverTheWire: bandit 3

※ 레벨에대한 정확한 비밀번호를 알려드지는 않습니다. 힌트와 해결과정을 포스팅하려고합니다.※ 최대한 스스로 풀어보시기를 권합니다. http://overthewire.org(링크) ↑ 다음 레벨의 비밀번호는 디렉터리 안에 숨겨진 파일안에 있다고 한다! ↑ ls 명령어를 사용해보니 inhere이라는 디렉토리가있다. 여기 있겠구나 했지만, ls 명령어로 inhere을 봐도 아무것도 없었다. ↑ 힌트에서 알 수 있듯이 숨김파일이 있을지 몰라, ls -al(지정된 위치의 모든 파일 및 디렉터리 출력) 명령어를 사용해보니 .hidden 파일이 나왔다; ↑ 역시나 .hidden 파일안에 키가 있었다!

OverTheWire: bandit 2

※ 레벨에대한 정확한 비밀번호를 알려드지는 않습니다. 힌트와 해결과정을 포스팅하려고합니다.※ 최대한 스스로 풀어보시기를 권합니다. http://overthewire.org(링크) ↑ 'space in this filename'이라는 파일에 비밀번호가 있다고 한다. ↑ spaces in this filename 이라는 파일을 cat명령으로 보려고했지만, 볼 수 었다. spaces in this filename (이 파일에는 공백이 있다.) 파일이름도 그렇듯이 이 파일 이름에는 공백이있다. cat 명령을 공백으로 처리하면 cat명령어는 그 공백을 분리된 개념으로 인식한다즉 - cat spaces - cat in - cat this - filename # 이러한 파일은 당연히 없기 때문에 명령의 오류가 발생한..

OverTheWire: bandit 1

※ 레벨에대한 정확한 비밀번호를 알려드지는 않습니다. 힌트와 해결과정을 포스팅하려고합니다.※ 최대한 스스로 풀어보시기를 권합니다. http://overthewire.org(링크) ↑ bandit를 풀때 항상 홈페이지의 힌트를 참조하면서 해결의 방향을 잡으면 좋다. 저장된 대쉬라는 이름의 파일에 힌트가 있는것 같다.이 레벨에서 필요한 명령어도 알 수 있다. ↑ 파일의 이름이 -(대쉬)인 파일이 있다. 하지만 대쉬 파일을 읽으려고해도 cat명령어가 먹히지 않는다. ↑ vi로 대쉬 파일을 열어보고 싶지만 계속 stbin에서 문자를 읽어오는 중이라고 뜨고 진행이 안된다. ↑ 리눅스에서 대쉬파일을 만들어서 실험을 해보았다. echo 명령을 이용해 대쉬에 'hello dash file' 이라는 문구를 넣음과 동신에..

해커스쿨 FTZ level1

※ 레벨에대한 정확한 비밀번호를 알려드지는 않습니다. 힌트와 해결과정을 포스팅하려고합니다.※ 이 게시물은 시스템에대한 폭넓은 이해를 돕기위함이며, 이 게시물을 악용하여 발생한 피해는 책임지지 않습니다.※ 최대한 스스로 풀어보시기를 권합니다. ↑ FTZ에서는 다음 레벨의 비밀번호 정보를 my-pass명령어를 통해 얻을 수 있습니다. ↑ level1에 접속한 후 ls 명령어를 통해 level2의 비밀 번호를 얻기 위한 실마리를 찾습니다.ls 명령어를 치면 hint 보기 좋은 file이 있습니다. file의 내용은 ' level2 권한에 SetUID가 걸린 파일을 찾는다 ' 입니다. SetUID가 뭔지 아는데 참고하시면 좋습니다.# http://hack-cracker.tistory.com/55 perm (pe..

OverTheWire: bandit 0

※ 레벨에대한 정확한 비밀번호를 알려드지는 않습니다. 힌트와 해결과정을 포스팅하려고합니다.※ 최대한 스스로 풀어보시기를 권합니다. http://overthewire.org(링크) OverTheWire-bandit overthewire은 워게임 사이트로 다양한 종류의 워게임을 실습해 볼 수 있습니다. 이중 bandit는 리눅스에 관한 워게임으로 natas와 비슷하게 게임 식으로 레벨이있고, 다음레벨로 넘어 가기위한 비밀번호를 얻어야하는 워게임 입니다.. 각 레벨이 올라가면서 쓰는 명령어도 어려워지고 다양해져서 실습에 많은 도움이 됩니다. natas와 다른점은 natas는 웹브라우저에서 실습하는 반면, bandit는 SSH로 구동되니 헷갈릿면 안됩니다. 리눅스를 처음 접하시는분들이 실습예제로 한번씩 풀어보시..

1 ··· 6 7 8 9 10 11 12

카테고리

To infinity and beyond! (204)

달력

광고

최근에 올라온 글

최근에 달린 댓글

태그

모의해킹 실무

Bandit Level 14 → Level 15

리눅스 파이썬

칼리 리눅스 설치

vmware kali linux

MySQL 설치하기

모의해킹 팁

모의해킹이란

Bandit Level 9 → Level 10

취약점 진단이란

Bandit Level 6 → Level 7

더보기

방문자수

Total :
Today :
Yesterday :

좀 알려주세요 현기증 난단 말이에요..

티스토리툴바