Το προφίλ μας στο Google Plus
6

Mίνι διαγωνισμός CTF, για γνώση και κυρίως διασκέδαση!

Υπάρχουν φορές που αφηρημένα απολαμβάνουμε το καφεδάκι μας και βυθιζόμαστε σε σκέψεις. Ομολογουμένως, διαφορετικοί άνθρωποι προτιμούν διαφορετικά είδη καφέ. Επίσης, διαφορετικοί άνθρωποι βυθίζονται σε διαφορετικές σκέψεις, όταν πίνουν κάποιο από εκείνα τα “διαφορετικά είδη” καφέ. Ο γράφων, για παράδειγμα, τις προάλλες έπινε το freddo του όταν χωρίς να το καταλάβει άρχισε να κάνει σκέψεις του στιλ “πόσο εύκολο είναι ν’ αποκτήσει κάποιος πρόσβαση σ’ εκείνον τον παλιό, ξεχασμένο server που λειτουργεί απροβλημάτιστα από την εποχή του Νώε;”

deltaHacker 1 (Οκτώβρης 2011) | Mίνι διαγωνισμός CTF, για γνώση και κυρίως διασκέδαση!

Απάντηση στο ερώτημα θα προσπαθήσουμε να δώσουμε στο παρόν αρθράκι, αγαπητές φίλες και φίλοι. Η απάντησή μας όμως θα φροντίσουμε να μην είναι φιλοσοφική – ούτε καν θεωρητική. Αντίθετα, θα δούμε στην πράξη πόσο εύκολο είναι για κάποιον ν’ αποκτήσει μη εξουσιοδοτημένη πρόσβαση με δικαιώματα υπερχρήστη σ’ ένα κακοσυντηρημένο μηχάνημα!

Για τις ανάγκες του παρόντος άρθρου θα χρησιμοποιήσουμε ως στόχο το Metasploitable, μια εικονική μηχανή (virtual machine, VM) δημιουργημένη με το VMware η οποία παρέχεται ελεύθερα και δωρεάν από την ομάδα ανάπτυξης του Metasploit Framework. Για όσους δεν το ‘χαν ακούσει ή δεν έτυχε ποτέ ν’ ασχοληθούν μ’ αυτό, ν’ αναφέρουμε επιγραμματικά ότι το Metasploitable είν’ ένα VM με host OS το Ubuntu Server 8.04. Λόγω του πλήθους των μη ενημερωμένων εφαρμογών που τρέχει αποτελεί ένα άκρως ευπαθές σύστημα, αποκαλύπτοντας στον κάθε ενδιαφερόμενο μια μεγάλη attack surface. Ίσως προκαλεί εντύπωση αυτό, μια που μιλάμε για Linux server. Κι όμως, δεν υπάρχει λειτουργικό σύστημα που να *μην* ενημερώνεται και να ‘ναι ασφαλές. Είναι προφανές, λοιπόν, ότι ένα VM σαν το Metasploitable αποτελεί τον κατάλληλο στόχο για όποιον επιθυμεί να εξασκηθεί στο penetration testing αλλά χωρίς -και το τονίζουμε αυτό- να επιτεθεί σε πραγματικά συστήματα, τα οποία είτε δεν του ανήκουν είτε δεν του έχει δοθεί σχετική εξουσιοδότηση.

Διαβάστε όλο το άρθρο στο τεύχος 1 (Οκτωβρίου). Τα περιεχόμενα του τεύχους είναι εδώ. Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking και infosec, θα τις βρείτε -> εδώ <-

6 Responses to “Mίνι διαγωνισμός CTF, για γνώση και κυρίως διασκέδαση!”

  1. Amazed | 22/09/2011 at 21:33

    τελικά τι να πω?? Της τελευταίες 2 εβδομάδες έχω μαζέψει τα πάντα σχετικά με το metasploitable.. από το nmap script που παίρνεις root μέχρι του g0tmilk video ….

    • subZraw | 23/09/2011 at 00:57

      Ναι, αλλά στο δικό μας άρθρο αποκτάμε πρόσβαση με *άλλο* τρόπο. Επίσης, στα πλαίσια του CTF δεν επιτρέπεται η χρήση έτοιμων εργαλείων ;)

  2. aLEXk | 04/11/2011 at 13:13

    Βοηθείστε ένα newbie!!!
    Όλα καλά μέχρι και την σελίδα 27.
    Επιβεβαίωσα ότι το shell.php υπάρχει στο tikiwiki/temp του metaesploitable.
    Όταν δίνω όμως στο browser http://192.168.178.144/tikiwiki/temp/shell.php, όπου 192.168.178.144 η ip του metaesploitable παίρνω για απάντηση «#no socket»
    Κάτι λείπει…
    Α

  3. davidrivers | 28/06/2017 at 20:59

    καλησπέρα κάτι πρέπει να κάνω λάθος και δεν ξέρω τι ακριβώς εχω κάνει install to metasploitable στο virtual box της οracle δεν μπόρω να κανω nmap προσπαθω να κανω install update αλλα ματαια

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων