Intro to Offensive Security

▶ Task1 : Hacking your first machine

 

오른쪽 상단에 있는 "Start Machine" 버튼을 누르면 머신이 실행된다. 

fake bank라는 사이트가 나와있다. 

오른쪽에 보이는 ">_"을 눌러 terminal을 띄운다. 

 

 

페이지에 나와있는 대로 명령어를 입력하고 enter를 누르면 terminal에 진행되고 있는 내용이 주르륵 뜬다. 

gobuster는 brute-forcing을 실행하는 도구로, 여기서는 directory mode로 사용되었다. 

 

결과로 출력된 걸 보면, "/bank-transfer & /image" directory가 발견되었고 status code를 보니 bank-transfer directory에만 정상적으로 접근이 가능할 것 같다. 

 

 

해당 url로 접근해 보니 admin portal page가 나온다. 

 

대부분의 회사에는 관리 포털 페이지가 있는데, 종종 이 페이지가 비공개로 설정되지 않아서 공격자가 

관리자 제어 or 중요한 데이터에 접근 가능하게,

숨겨진 페이지를 찾을 수 있게 되는 경우가 있다고 한다. 

 

위의 예시는 은행의 경우로, 

직원이 고객 계좌로 돈을 이체할 수 있는 숨겨진 페이지를 찾아낸 상황인 듯하다. 

 

step 3에서 나타내듯, $2000를 은행계좌(2276)에서 고객 계좌(8881)로 이체해 보자. 

이체 후 메인 페이지로 돌아가보니

사이트에서 제출을 요구하는 첫 번째 문제의 답을 알려주고 있다.(OoO)

 

해당 란에 입력해서 제출하면 끝

 

 

 

▶ Task2 : What is Offensive security?

"Offensive security" 란,

1.컴퓨터 시스템에 침입

2.소프트웨어 버그를 악용

3.무단 침입을 위해 응용프로그램의 허점을 찾는 과정

 

그 반대로, "Deffensive security"란,

잠재적인 디지털 위협을 분석하여 조직의 네트워크와 컴퓨터 시스템을 보호하는 과정으로

 

1.감염된 컴퓨터나 장치를 조사하여 그것이 어떻게 해킹되었는지 이해

2.사이버 범죄자를 추적

3.악의적인 측면에서의 인프라를 모니터링하는 역할

 

 

 

▶ Task3 : Careers in cyber security

a few offensive security roles ]

Penetraion Tester :

악용될 수 있는 보안 취약점을 찾기 위해 제품 테스트를 진행

 

Red Teamer :

공격자의 관점에서 조직을 공격하고 피드백을 제공하는 역할

 

Security Engineer :

사이버공격을 방지하는 데 도움을 주기 위해 보안 제어, 네트워크, 시스템을 설계, 유지, 모니터링

 

 

 

(+) gobuster

2023.01.20 - [Tool] - Gobuster

Gobuster