티스토리 뷰
natas 는 웹 취약점 기반의 워게임으로
bandit 와 달리 레벨 목표는 따로 명시되어 있지 않습니다.
우리가 일상생활에서 흔히 사용하는 웹페이지에서 존재할 수 있는 다양한 취약점이 구현되어 있는데요
아주 간단한 취약점 부터 복잡한 응용까지 단계별로 파헤쳐봅시다.
우선 natas 접속 방법을 알아봅시다.
웹브라우저를 하나 새로 열고 level 0 페이지에서 제시해준 url 로 접속을 합니다.
로그인 페이지가 나타나면 사용자이름과 비밀번호에 모두 natas0 를 입력해줍니다.
이제 natas0 페이지에 정상 접속이 되었습니다.
natas0 는 일종의 tutorial 페이지로 이 단계를 해결하면 패스워드를 획득하고
이를 기반으로 다음 단계 natas1 으로 이동할 수 있습니다.
문제에서는 다음 단계로 넘어가기 위한 패스워드를 찾을 수 있다고 하네요.
함께 찾아봅시다.
natas 의 첫번째 연습문제입니다.
해당 페이지에서 마우스 우클릭을 하면 페이지 소스 보기라는 기능을 활용할 수 있습니다.
그러면 아래와 같이 복잡한(?) 코드가 나타는데요.
이 코드들은 html 이라고 하는 웹페이지 구현하는 프로그래밍 언어입니다.
우리가 늘상 이용하는 네이버나 구글 같은 사이트는 웹 페이지, 즉 웹 문서처럼 사용하고 있었습니다.
네이버 메인 화면 같은 이 웹 문서는 흰 바탕에 아이콘들을 그려넣고 버튼을 단게 아니라
사실은 위와 같은 html 코드로 이루어진 프로그래밍 파일에 가깝습니다.
네이버라는 사이트를 운영할 수 있는 서버라는 특별한 컴퓨터에
특정 디렉토리를 웹서버로 지정해서 인터넷 상에 연결시키고
네이버의 기능을 작동 시킬 수 있는 프로그래밍 코드로 만들든 수많은 웹페이지와
그림파일이나, 버튼 아이콘 같은 것들도 잘 분류해서
웹서버 폴더 안에 저장하고 서로 연결 시켜준 것이죠.
우리는 그동안 인터넷을 하는데 사용했던 인터넷 익스플로어, 엣지, 크롬, 사파리, 웨일 등의 웹 브라우저는
실제로 저 코드가 적혀있는 파일을 다운받아서 내 컴퓨터에 전달하는 프로그램인거죠.
윈도우의 파일 탐색기(파일 브라우저)를 통해서 내 컴퓨터 내 폴더와 파일을 살펴보는 것처럼
웹 브라우저도 그냥 인터넷 세계를 탐색하는 탐색기인겁니다.
다만 코드로 만들어진 웹 문서를 해독해서 코드가 의도한대로 사람이 보기 좋은 그림처럼 다시 그려주는(렌더링)
기능을 제공해주는 게 웹 브라우저의 가장 중요한 역할입니다.
그럼 문제를 해결해볼까요
지금 html 문법을 다 설명할 수는 없지만 html 은 웹문서의 모양을 잡아주는 표준언어입니다.
웹 취약점을 공부하고 싶은 친구들은 html 언어에 대해 개인적으로 따로 공부하길 바랍니다.
여러줄의 코드가 있는데 대부분의 프로그래밍 언어와 마찬가지로 초록색 부분이 주석언어입니다.
즉, 화면에 나타나지 않고 작성자의 코멘트로서만 존재하는 부분입니다.
16 line을 보면 패스워드가 gtVrDuiDfck831PqWsLEZy5gyDz1clto 라고 친절하게 나타나 있습니다.
해당 패스워드를 잘 복사해서 http://natas1.natas.labs.overthewire.org 에 접속하는 데 사용하면 됩니다.
natas 사이트에서 통하는 취약점은 실제로 아주 오래전에는 통했을 지도 몰라도
지금은 먹히지 않는게 대부분입니다.
혹시라도 natas 에서 배운 기법을 활용해서 현실세계에서 웹취약점을 탐색하는 행위는
하지 않기를 강력하게 권고합니다.
natas 는 보안 학습을 위해 제작된 사이트로 취약점 탐색 행위를 하는것을 허용하게끔 설계되었고
그 영향력이 제한적이지만 동일한 방식으로 현실에 존재하는 개인/상업 사이트에 취약점 점검을 한다면
여러분은 법적인 책임을 지게 될 수 있습니다.
국내외 대부분의 사이트들은 침입탐지 시스템 등을 운영하고 이상 탐색 행위를 추적할 수 있습니다.
이곳에서는 웹보안에 대한 기본적인 개념을 익히는데 만족하고
그 외 다양한 시도는 사전 협의된 테스트 환경이나 본인이 감당할 수 있는 실험 환경 등에서만
진행하길 바랍니다.
'수업 노트 > natas' 카테고리의 다른 글
| natas4 solution (0) | 2022.05.16 |
|---|---|
| natas3 solution (0) | 2022.05.16 |
| natas2 solution (0) | 2022.05.14 |
| natas1 solution (0) | 2022.05.14 |
| [guide] natas 란? (0) | 2022.05.14 |
- Total
- Today
- Yesterday
- X32
- find
- nc
- Bandit
- Encode
- Natas
- Linux
- Strings
- gz
- natas7
- ssh
- java
- 풀이
- 웹보안
- over the wire
- solution
- 32bit
- bz2
- BASE64
- 리터럴
- tar
- 웹보안공부
- OverTheWire
- OpenSSL
- 압축파일
- HTTPS
- 리눅스
- grep
- tr
- SSL
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |