R's Hacking Daily Log

▶ Task 1 : Welcome To TryHackMe 이번 room에서는 간단한 career path에 대해 알아보자. 다른 room에서도 다뤘지만 사이버 보안 영역은 크게 2가지, Offensive Security와 Defensive Security로 나뉜다. ▶ Task 2 : Offensive Security 첫 번째로 훑어볼 영역은 Offensive side! 가장 일반적인 offenvise security에 속하는 역할은 Penetration Tester. 줄여서 Pentest를 수행하는 사람을 말하며, 제품의 취약점을 찾기 위해 합법적으로 조직(회사)에 고용된 사람을 의미한다. Penetration Tester는 일반적으로 - 웹 어플리케이션 보안 - 네트워크 보안 - 스크립트 작성을 위한..

▶ Task 1 : Pickle Rick target IP로 접속해 보니 웬 박사님(?)이 뛰어다니고 계신다. 간단히 source code를 확인해 보니 [마우스 우측 커서 - View Page Source] 오. 주석처리 되어있는 username을 Get 했다. 80 port가 열려있으니 Gobuster로 directory를 찾아봤다. txt, js, css, html, php 확장자를 갖는 파일도 출력하라는 옵션을 추가해서 실행해 봤다. [찾아낸 수상한 directory&file] 1) assets directory 2) login.php 3) robots.txt - password일까 싶은 어쩌고저쩌둡둡을 얻었다. 위에서 찾은 username과 "Wubbalubbadubdub"으로 로그인을 시도해 ..

▶ Task 1 : Introducing LAN Topologies LAN [= Local Area Network Topologies] "Topology"라는 용어는 실제 네트워크의 모양, 생김새를 나타내는 이름을 갖는다. 수년에 걸쳐 네트워크 설계에 다양한 실험과 구현이 진행되어 온 만큼 각각의 Topology에 대한 장점&단점을 살펴보자. [Star] star topology는 중앙에 hub/switch 같은 central networking 디바이스에 host들이 개별적으로 연결된 구조를 말한다. 확장성과 신뢰성 때문에 가장 일반적인 topology로 구조를 보면 알겠지만 디바이스에서 어떤 데이터를 보낼 때, 중앙 디바이스를 통해 전달된다. networking 디바이스나 케이블 등 장비를 갖춰야 하..

▶ Task 1 : What is Networking? Networks란, 간단히 말해 무언가가 연결된 것으로 도시의 대중교통 시스템, 국가 전력망과 같은 인프라, 편지나 소포를 보내는 우편 시스템 등이 예시가 될 수 있다. 컴퓨팅에서의 네트워크는 2개에서 수십억 개의 장치로 구성될 수 있으며, 보안 카메라, 노트북, 폰, 신호등과 같은 디바이스들이 이에 속한다. 네트워크라는 것은 생각보다 현대 사회에 아주 밀접하게 관련되어 있기 때문에 사이버 보안을 파악하는 데에 있어 네트워크는 필수적인 개념! ▶ Task 2 : What is the Internet? 인터넷[= Internet]이란, 수많은 작은 네트워크로 구성된 하나의 거대한 네트워크를 말한다. So, 네트워크 안에서는 또 작은 네트워크들로 나눠질..

Try Hack Me : Tutorial tryhackme에서는 challenge type의 room에서 실행할 수 있는 머신들이 준비되어 있다. 오른쪽 상단에 위치한 버튼을 눌러주면 머신이 실행되어 1분 정도 기다리면 target의 IP address와 해당 머신의 유효시간이 출력된다. Start AttackBox를 누르면, 오른쪽으로 브라우저가 분리되면서 화면상에 머신이 출력된다. 머신이 다 준비되고 나면 firefox browser를 띄워보자. 오른쪽 바에 firefox가 배치되어 있다. 브라우저에 IP address를 입력하면 tutorial에서 물어본 flag가 출력된다. (OoO) openvpn을 사용해 kali linux에서도 trahackme challenge들을 풀 수 있다. [ 프로필 ..

▶ Task 1 : What is Penetration Testing? penetration test의 기술적인 측면을 배우기 전에, penetration test를 수행하기 위해 거치는 과정과 tester의 직문 책임에 대해 알아야 한다. Penetration test or Pentest 이란, 정보와 자산을 보호하기 위해 security defense를 테스트하고 분석하는 윤리적 행위를 의미하며, pentest는 악의적인 의도를 가진 사람이 사용할 것과 같은 도구, 기술, 방법론을 사용한다. ▶ Task 2 : Penetration Testing Ethics Pentration test에서 윤리와 합법성의 싸움은 항상 논란이 있다. 해킹&해커라는 레이블이 붙으면 대중문화에서는 흔히 부정적인 의미로 받..

(1)에서 얻은 jan 계정으로 ssh에 접속해 준다. j.txt에서 언급했던 /etc/passwd 내용을 읽어보면 jan&kay에 정보가 나온다. jan와 kay 모두 /home 아래에 directory가 있는 걸 확인! /home/kay로 들어가보니, pass.bak라는 파일이 있다. 당연하게도 jan 계정으로는 해당 파일을 읽을 수 없다..ㅠ-ㅠ kay의 계정을 알아내야 하는데 흠.. 하는 찰나에 .ssh directory가 눈에 들어온다. ssh에서는 password말고도 identity_file을 이용해 접속할 수 있다. 해당 파일을 scp command로 복사해오자. kay로 접속하려하자 "too open"이라는 경고문구가 나온다. 모든 유저가 읽을 수 있게 권한이 설정되어있다 보니 해당 문구..

▶ Task 1 : Web App Testing and Privilege Escalation port scan 결과, 22&80번 port도 열려있는 걸 확인. browser로 접속한 모습이다. 아무래도 숨겨진 directory를 찾아봐야 할 거 같다. Gobuster를 사용해서 보니 /development 발견! dev.txt&j.txt라는 파일이 있다. [dev.txt] [j.txt] 내용을 확인해보니 SMB와 J의 passwd를 간단히 알아낼 수 있다는 사실을 알아냈다. 그렇다면, J의 계정부터 해킹해 보자! J의 full name을 모르기 때문에 일단은 SMB라는 단서를 먼저 사용해야 할 듯하다. 인터넷에 검색해보니 smbclient라는 명령어로 smb에 연결할 수 있다고 한다. anonymous..