[OverTheWire Bandit] Bandit Level 0 문제풀이 (+오류해결)

OverTheWire Bandit

Level 0

 

목표 : Bandit 서버에 SSH로 접속하기

 

문제를 간략하게 정리하자면,

• 서버: bandit.labs.overthewire.org
• 포트: 2220
• 사용자 이름: bandit0
• 비밀번호: bandit0

 

풀이 방법

 

사용 터미널 : Power Shell (관리자 권한 모드)

 

1. SSH를 사용하여 bandit.labs.overthewire.org 서버에 접속하기

ssh bandit0@bandit.labs.overthewire.org -p 2220

 

[ssh / 사용자이름@서버 주소 / -p  / 포트번호]

 

위 서식을 그대로 따르면 되고 빨간색으로 된 부분은 고정된 명령어다.

ssh를 이용해 -p 옵션을 사용하여 포트번호를 입력한다.

 

 

명령어를 입력하게 되면 위와 같이 Bandit 서버로 이동하게 된다.

 

2. 서버에 접속하기 위한 비밀번호 입력

 

문제에서 비밀번호를 제공해주므로 그대로 입력하면 된다.

비밀번호: bandit0

 

비밀번호를 이러한 리눅스 터널 환경에서는 작성을 해도 안보이는게 당연하다.

기밀성을 위해 보이지 않는 것일 뿐 작성은 되는 것이므로 그대로 키보드로 입력하면 된다.

 

 

오류 발생

 

레벨 0의 첫 번째 문제인데 벌써 오류가 발생해서 잠시동안 헤맸는데 그 원인과 결과를 이야기하고자 한다.

 

 

보다시피 패스워드를 입력하면 계속해서 'Permission denied, please try again' 이라는 멘트가 나온다.

다른 사람들의 문제 해결 풀이를 봐도 여기서 막힐 일이 없는데 계속 실패를 하길래 패스워드만 별의별 방법으로

10번 이상 쳐본 것 같다..;

 

원인

문제는 처음 서버 주소를 입력할 때 앞에 '사용자이름@' 부분을 생략했다는 것!

결국은 처음 ssh 주소를 잘 입력했으면 해결됬을 문제지만

처음엔 그것도 모르고 다른 방법으로 문제를 해결했다.

 

원인은 SSH 구성 옵션에 있었다.

 

문제해결

보안을 높이기 위한

KbdInteractiveAuthentication

라는 옵션이 있다.

 

키보드 대화형 인증(Keyboard Interactive Authentication)은 SSH 서버와 사용자가

서로 입력하는 방식으로 인증을 진행하는 방법이다.

보안을 높이기 위해 비활성화 되는 경우가 있는데 아무래도 서버 주소에 '사용자이름@'을 누락하면

이 옵션이 비활성화되는 듯 했다.

 

따라서 사용자이름을 모르거나 서버 주소만 입력했을 때 패스워드가 Permission denied 하지 않으려면

(*구성파일을 변경하는 것이 번거롭다면!)

ssh -o KbdInteractiveAuthentication=yes bandit0@bandit.labs.overthewire.org -p 2220

 

즉, KbdInteractiveAuthentication=no 로 되어 있을 것을 위 명령어처럼 '=yes'로 활성화 시켜주어야 한다.

 

 

Bandit 서버에 잘 들어가면 위와 같이 사용자가 바뀐다.

 

 

실수로 사용자 이름을 누락했더니 추가적인 지식이 늘어났다^^;