아임노드

오늘 점심에 버섯은 따로 볶고 냉장고에 슬슬 쉬어가는이연복표 볶음밥을 같이 먹었는데  오늘 강의들으면서 한 번 더 느낀건,아무리 GPT가 코드 짜줘도 파이썬 다시 공부해야겠다..라는 것!C++한지 2년 정도 되가니 문법도 가물가물하고파이썬이 은근 C++ for문이랑 문법 헷갈리는 것과;(세미콜론) 안적는게 처음엔 매우 불편했지만ㅋㅋ정리했던거 다시 돌려봐야겠다. 오늘 강의에서 리눅스 비밀키에 대해서 나와서 속으로 살짝 기뻤다.눅린이가 문제풀었던 것에서 'ssh -i 비밀키' 접속에 관한게 있었는데 오늘 설명을 해주셨다!!!물론 이게 주요 학습 내용은 아니고 'putty말고 이렇게 접속할 수도 있어야 한다~'라는 취지에서 말씀하신 거지만 아는거 나와서 기분 좋음ㅎ   오늘의 bandit 문제풀이  리눅스 하..

OverTheWire BanditLevel 18 -> Level 19  목표 : SSH 로그인 시 자동 로그아웃 확인문제 해결 ①문제 해결 ② 풀이 방법  1. bandit18 서버 접속ssh bandit18@bandit.labs.overthewire.org -p 2220  2. SSH 로그인 시 자동 로그아웃 확인 이전 문제에서 언급해줬다시피 로그인시 Byebye 문구와 함께 접속이 자동으로 종료된다.문제에서 보면 .bashrc인 bash쉘의 사용자 설정 파일이 자동으로 로그아웃되도록 변경되었기 때문이다.따라서 이 .bashrc를 실행시키지 않고 접속하는 우회방법을 찾도록 한다.  3. 문제 해결 ①첫 번째 방법은 SSH세션에서 특정 명령을 직접 실행하여 .bashrc를 실행하지 않고 작업을 수행하게 ..

OverTheWire BanditLevel 17 -> Level 18  목표 : 두 파일의 차이를 비교하기두 파일의 차이 비교하기 풀이 방법  1. bandit17 서버 접속ssh bandit17@bandit.labs.overthewire.org -p 2220  2. 두 파일의 차이 비교하기먼저 ls로 파일을 확인한다. 패스워드는 passwords.new에서 password.old와 다른 유일한 line이라고 했다.따라서, diff 명령어를 사용하도록 한다.diff passwords.old passwords.new 출력결과는 아래와 같이 나온다.여기서 가 old에서 유일한 line이 되고> 이후 글자 가 new 파일에서 유일한 line이 된다. 만일 차이가 나는 라인이 많이 출력된다면grep를 써서 > ..

오늘 강의에서 강사님이 짤막하게 얘기해주신 부분이기억에 남는다. 기회는 만드는 것내가 열심히 한 것을 잘 만들어놨다면 이게 잘 되었는지 아닌지는 내가 판단 내릴 필요는 없다.어짜피 평가는 상대방이 하는 것나는 그저 열심히 했다라는 것을 보여주면 된다.정 안되면 예쁘게라도 하든지 책으로라도 만들어라(예,부크크)나는 이런 것도 해봤다라는 것을 증명 내가 내세울 수 있는 특장점은 무엇이 있을까?지금 하는 걸 따라가기도 급급한데..열심히 그날그날 블로그를 쓰는 게 아직까지는 최선인 '나'이다..공부가 어느정도 익숙해지면 나도 나만의 것을 만들어 볼 수 있을까? 오늘 한 실습들)- 권한지정 추가해가면 인스턴스, 버킷 생성- CLI를 사용한 유저관리와 취약점 점검- 자동화 점검 오늘의 bandit 문제풀이  이번 ..

OverTheWire BanditLevel 16 -> Level 17  목표 : 31000~32000 포트 중 SSL/TLS으로 통신하는 열린 포트 찾기해당 포트 SSL 접속*KEYUPDATE 문제 확인RSA 프라이빗 키 확인 및 저장RSA 프라이빗 키로 권한 변경ssh -i 'private key'로 접속 (-p 2220)패스워드 경로 찾기(/etc/bandit_pass/) 풀이 방법  1. bandit16 서버 접속ssh bandit16@bandit.labs.overthewire.org -p 2220   2. 31000~32000 포트 중 SSL/TLS으로 통신하는 열린 포트 찾기nmap -p 31000-32000 --open -sV localhostnmap : 네트워크 스캔을 위한 도구-p 3100..

다시 월요일!잠을 적게 잤는데 어쩐지 전보다 피곤하지가 않다.이제는 몸이 적응한 것인가..! 티스토리에서 진행된 오블완 챌린지에서일정 기간 이상 목표를 달성한 참여자를 대상으로, 오늘 스티커가 배포됐다.어쩐지 티스토리가 순간 느려지더라? 오늘부터 새로 시작하는 [클라우드기반 취약점 진단 및 대응 실무]!강의를 본격적으로 시작하기 전에 강사님이 '3번 반복하다보면 이해가 안가는 것도 점차 이해가 될 것' 이라는이야기해주셔서 다시 한번 복습에 대한 중요성을 상기시킨다. 이전에 부족했던 클라우드에 대한 개념들을 이번 강의를 통해 적립해나갈 수 있길 스스로에게 바란다. 오늘 한 실습 내용)IAM 계정 만들고 정책설정NFA 기반으로 로그인하기(2중 보안)이름규칙주로 IAM 계정 유저에게 정책 부여 후 그에 따른 ..

OverTheWire BanditLevel 15 -> Level 16  목표 : localhost에서 SSL/TLS에 연결하기 localhost에서 포트번호 3001로 SSL/TLS 연결패스워드 입력 후 다음 레벨 패스워드 확인 풀이 방법  1. bandit15 서버 접속ssh bandit15@bandit.labs.overthewire.org -p 2220  2. localhost에서 openssl 명령어 사용하여 포트번호 30001로 SSL/TLS 연결 설정  접속하면 캡쳐 내용 이외에도 내용일 쭉 나온다.그러면 맨 하단에 'read R BLOCK' 이라는 문구가 뜬다.이는 서버가 클라이언트로부터 추가적인 데이터를 기다리고 있음을 나타냅니다.즉, 서버가 데이터를 입력받기를 대기 중이라는 의미이다.왜 발..

2024년도 한달밖에 안남았구나..염원하던 25년도가 다가온다. 주말인데 공부를 많이 못한 것 같다.도서관에 가려고 했는데 다리 염증이 갑자기 심해져서걸을 때마다 아프다ㅜㅜ병원 예약을 잡아야 할 것 같다.  오늘의 정리 및 복습> 실무 환경에서의 주요 취약점_디렉토리 인덱싱(경로 순회)- 13개 정도의 취약점 존재 1) 주요통신기반시설 취약점 가이드(KISA) : 28개 2) 전자금융기반 취약점 가이드(금보원/비공식) : 48개 얼마나 빨리 취약점을 찾느냐가 개인 역량 디렉토리 인덱싱(경imnode.tistory.com  실무 환경에서의 주요 취약점_Brute-Force 공격Brute-Force 공격 - 무차별 대입공격, 웹 애플리케이션 진단에서는 사전대입 기반 공격을 사용 * 사전대입 : 이미 알려진 ..

OverTheWire BanditLevel 14 -> Level 15  목표 : localhost에 특정 포트번호로 연결하기  포트번호 3000인 localhost에 접속하기 풀이 방법  1. bandit14 서버 접속ssh bandit14@bandit.labs.overthewire.org -p 2220  2. 문제 분석하기이번에는 따로 문제 내용을 하나하나 분석해보겠다.1. The password for the next level can be retrieved // 2. by submitting the password of the current level // 3. to port 30000 on localhost. //로 끊은 부분을 기준으로 순서대로 확인해보자.1. 다음 레벨의 패스워드를 되찾을 수 ..

Brute-Force 공격 - 무차별 대입공격, 웹 애플리케이션 진단에서는 사전대입 기반 공격을 사용 * 사전대입 : 이미 알려진 단어를 사용하는 방식 - 로그인 취약성, 파라미터 조작   ex) http://test.com/login?id=admin&pw=1234  1234 데이터 대신에 사전기반 데이터를 넣어 취약한 비밀번호 찾기   ex) http://test.com/profile?id=1  1 대신에 다른 데이터를 넣어 페이지 접근 확인 사용 도구 : 1) Burpsuite의 Intruder 기능 이용 2) Python으로 코드 작성 > ChatGPT에 입력하면 바로 작성가능Brute-Force1. proxy 기능을 통해 brute-forcing할 패킷 수집> burpsuite 실행> Proxy는..