전체 글115 해커스쿨 F.T.Z Level 8 level 8 로그인 후 hint를 본다. find 명령어로 파일을 찾아야 한다. 아주 간단한 find / -user level9로 찾아보았지만 찾은 결과가 없다. 1차원적으로 find / -name shadow를 찾아보았다. 찾아본 결과 이 파일을 서버에서 관리하는 파일인 것 같다. level 8이나 level 9에서 나온 것이 아닌 것 같다. 일단 1차원적으로 찾아볼 수 있는 건 찾아보았지만 나오지 않는다. 파일에 대해서 우리가 정확히 아는 건 용량이 2700이라는 것이다. 여기서 알아야 할 것은 find의 옵션이다. 단, 필요한 옵션만 다룬다. find 옵션 -size 옵션 중 -size 옵션을 알아야 한다. 용법은 find [찾을 디렉터리 경로] [찾기 옵션]이다. -size [+파일 크기 / -.. 2020. 2. 14. 해커스쿨 F.T.Z Level 7 level 7을 로그인 후 hint를 본다. 일단 무슨 파일인지 알아보기 위해 찾는다. user는 level8, group은 level7 현재 level7에 있으니 SetUID가 걸린 프로그램을 변경할 수 없으니 권한에 따라 실행을 할 수밖에 없다. 실행하면 비밀번호를 입력하라고 한다. 입력하면 오류가 난다. 이 오류는 개인이 F.T.Z 서버를 열어서 하는 경우 생기는 것이라고 한다. 이때 직접 root 계정으로 접속해 wrong.txt를 만들어주면 된다. bin 디렉터리에는 level7 계정으로는 파일을 만들 수 없으므로 root 계정에 로그인해야 한다. root 계정의 로그인은 su root 명령어로 로그인하고 비밀번호는 레드햇에 root에 들어가는 같은 비밀번호인 hackerschool이다. wro.. 2020. 2. 13. 해커스쿨 F.T.Z Level 6 level 6을 로그인하면 바로 힌트가 나온다. 의미 없는 아무 글자 또는 명령어를 입력해도 PuTTY가 종료가 되어 버린다. 다시 로그인 후 엔터만 입력하면 텔넷 접속 서비스가 나온다. 아무 곳이나 시도해봐도 같은 결과가 나온다. 접속을 시도 하는 것 같지만 이내 PuTTY가 종료된다. 이로써 결론이 나온다. 더보기 로그인 후 힌트가 나온 화면에서 쉘 프롬프트가 나오도록 해야 한다. 생활코딩 강좌를 보면서 리눅스 쉘을 사용하면서 단축키를 사용했을 것이다. 생활코딩에서 배운 Ctrl + Z로 백그라운드 실행을 했다. 그래서 백그라운드로 돌려보려고 했지만 아무 반응이 없다. 또 다른 간단한 설명으로는 정상 종료를 뜻하는 Ctrl + D도 사용해봤을 것이다. 이 단축키도 사용해봤지만, 텔넷 서비스로 넘어가 .. 2020. 2. 13. 해커스쿨 F.T.Z Level 5 구글링 결과 level 5부터는 C언어가 필요하다는 소문이 있다. level 5는 "심볼릭 링크(Symbolic Link)"와 "레이스 컨디션(Race Condition)" 해킹기법을 알아야 풀 수 있는 문제다. level 5문제 출제자 의도는 "레이스 컨디션"이라는 말이 많다. level 5는 제작 단계 코드 실수로 인해 오류가 있다는 소문이 있다. Geundi님의 글이 해킹기법부터 오류에 대한 정보까지 모든 정보가 들어있는 글이다. 이 글을 참고했다. 심볼릭 링크(Symbolic Link) 심볼릭 링크란 어떤 파일을 가리키고 있는 파일을 말한다. 윈도우에서 바로 가기와 비슷한 개념이다. 원본 파일이 있고 심볼릭 링크 파일이 있을 때 심볼릭 링크 파일은 원본 파일을 가리키는 것이다. 이때, 심볼릭 링크.. 2020. 2. 11. 해커스쿨 F.T.Z Level 4 level 4에 로그인하고 hint를 본다. 백도어(Backdoor) 백도어란 정상적인 인증 절차를 거치지 않고, 컴퓨터와 암호 시스템 등에 접근할 수 있도록 하는 장치다. 설계자나 관리자에 의해 남겨진 시스템의 보안 허점을 말한다. 설계자가 일부러 남겨놓은 경우는 개발 단계에서 테스트를 위해 유지 보수 시의 효율성을 위해 특수 계정을 허용하는 것이다. 하지만 이런 개발을 위한 의도를 비양심적으로 활용하거나 개발이 완료된 후 삭제되지 않은 백도어를 다른 사용자가 발견해 악용하게 될 경우는 아주 위험하다. 그렇게 되면 누군가 나의 접속 기록 및 로그인 정보 등 시스템 사용 내용을 모두 볼 수 있고 금전적인 손해까지 입을 수 있다. backdoor 파일이 있는 것을 확인했다. backdoor가 finger를.. 2020. 2. 7. 해커스쿨 F.T.Z Level 3 level 3 로그인 후 hint를 열어본다. level 3 hint는 C언어 코드가 나온다. C언어 코드가 뭔지는 모르겠지만, 이전 level들과 같은 느낌의 파일이다. 실행시켜봐야 할 것 같다. 실행시켜보았지만 용법에 맞지 않는다고 오류가 실행된다. C언어 코드를 분석할 필요가 있어 보인다. 코드를 분석하기 전에 dig에 대해서 간단히 배워보자. dig dig는 Domain Information Groper의 약자로 DNS로부터 정보를 가져올 수 있는 도구다. 생활코딩에서 DNS의 동작 원리 강좌를 봤을 것이다. 제목은 DNS의 동작 원리였지만 dig의 동작 원리라고도 생각한다. dig가 DNS를 통하여 정보를 가져오기 때문이다. 그래서 강좌에서는 dig의 사용법이나 dig의 문법을 알려주진 않지만,.. 2020. 2. 6. 해커스쿨 F.T.Z Level 2 level 1에서 bash를 입력 후 level 2문제를 풀고 있었다. 아이디를 보고 level 2의 권한을 얻은 줄 알았다. 그러나 권한 문제로 앞으로 나아갈 수가 없었다. chmod를 사용하려 해도 권한에 걸렸고 usermod는 설치되어 있지도 않았다. 그래서 id를 실행시켰더니 UID만 level 2였고 나머지는 level 1에 머물러 있었다. 권한에 걸릴 수밖에 없는 구조에 머물러 있었다. level 1에 머물러 있지 말고 level 2에 로그인하기 바란다. Level 2에 로그인 후 힌트 파일을 열어보고 무엇을 해야 할지 찾아본다. level 1과 비슷할 것 같다는 생각 들었다. level 1에서 level 2의 권한으로 되어 있고 level 1의 그룹 권한으로 실행할 수 있는 파일이 있었던 것.. 2020. 2. 5. 해커스쿨 F.T.Z Level 1 Training이 끝나고 드디어 Hacking Zone에 왔다. Hacking Zone Level 1에 로그인을 해야 한다. 보는 것과 같이 로그인하면 아무것도 나오지 않는다. 뭔가 Training과 같이 뭐라도 나올 것 같았지만, 아무것도 나오지 않아서 당황했다. 무슨 파일이 있는지부터 알아야 할 것 같아서 생각 없이 ls -l을 입력했다. ls -l을 실행해보니 hint라는 파일이 나왔다. level 1의 hint라는 생각에 cat hint를 사용해 내용을 봤다. level 1은 level 2 권한에 SetUID가 걸린 파일을 찾는 문제였다. SetUID는 얼마 전 Training 10에서 배웠던 권한에 대한 것이다. Training 10에서 배운 find를 활용해 찾으려고 했다. find에 대한 설.. 2020. 2. 5. 해커스쿨 F.T.Z Training 10 Training 10에서는 Local 해킹 때 핵심이 되는 SetUID에 대해 배운다. 해킹에는 두 가지가 있다. 하나는 Remote 해킹 다른 하나는 Local 해킹이다. Remote 해킹은 자신이 해킹하고자 하는 서버에 아이디를 가지고 있지 않을 때, 아이디를 얻고자 시도하는 것이다. Local 해킹은 해킹하고자 하는 서버에 일반 계정을 가지고 있을 때, 관리자 권한(root)을 얻고자 시도하는 것이다. Remote 해킹 방법에는 여러 가지 방법이 있다. 무작위로 아이디와 비밀번호를 입력하여 접속하는 방법, 데몬의 취약점을 공략하여 접속하는 방법, 게시판이나 방명록을 이용하여 접속하는 방법 등등 방법은 수십 가지가 넘는다. 지금 우리가 배울 것은 Local 해킹이다. 관리자의 권한을 얻는 이유는 서버.. 2020. 2. 4. 해커스쿨 F.T.Z Training 9 Training 9에서는 리눅스의 권한에 대해 배운다. 권한에 관한 개념은 해킹에서 가장 핵심적인 부분이다. F.T.Z의 Hacking Zone에서도 권한의 개념을 알아야만 문제를 풀 수 있는 문제가 나오기 때문에 집중해서 배워야 한다. 리눅스는 윈도우와는 다르게 한 서버에 여러 사용자가 접속하여 사용하게 된다. 만약 F.T.Z 서버에 개인 아이디를 가지고 있다면 그 개인 계정에 할당된 공간에 필요한 문서들을 올리고 홈페이지도 만드는 등 여러 중요한 파일들을 생성하게 된다. 그러다 보면 남이 봐서는 안 되는 나만의 문서, 프로그램을 올리게 되는 일도 있을 것이다. 이때 중요한 파일 프로그램은 자신만 사용하게 권한(Permission)을 부여할 수 있다. 리눅스를 사용하다 보면 Permission Deni.. 2020. 2. 4. 이전 1 ··· 6 7 8 9 10 11 12 다음