News

News

Σάββατο
Δεκέμβριος, 2

Πολεμικά Παίγνια: OTW Natas #0

Πλησιάζουμε στο τέλος από το πολεμικό παίγνιο Krypton και έτσι είπαμε να μπούμε σε ένα άλλο χώρο της πρακτικής εξάσκησης στην ασφάλεια υπολογιστών, την ασφάλεια ιστοσελίδων. Το πολεμικό παίγνιο Natas προσφέρεται επίσης από τη σελίδα OverTheWire.org αλλά αφορά θέματα ασφάλειας υπολογιστών σχετικά με ιστοσελίδες. Όπως σε όλα αυτά τα παίγνια τα επίπεδα δυσκολεύουν σταδιακά προσφέροντας γνώση και εμπειρία. Πάντα σας προτείνουμε να προσπαθείτε πρώτα να βρείτε τις λύσεις μόνοι σας και το ίδιο θα κάνουμε και εδώ. Δεν έχει νόημα να διαβάζετε τη λύση από μία ιστοσελίδα διότι σε ελάχιστο χρόνο θα το έχετε ξεχάσει, αντίθετα αν το έχετε κάνει μόνοι σας είναι πολύ δυσκολότερο να το ξεχάσετε.

Πηγή: JMediaGroup.net

Στη περιγραφή του παιχνιδιού φαίνεται ξεκάθαρα ο στόχος του και ο τρόπος λειτουργίας του. Βλέπετε παρακάτω μία εικόνα από το πως περιγράφεται το παιχνίδι στην επίσημη ιστοσελίδα του και ακριβώς από κάτω ακολουθεί το ίδιο κείμενο μεταφρασμένο στα Ελληνικά ώστε να είναι κατανοητό από όλους τους αναγνώστες μας.

Πηγή: OverTheWire.org
Πηγή: OverTheWire.org


Το Natas διδάσκει τα βασικά της ασφάλειας ιστού από τη πλευρά του εξυπηρετητή.

Κάθε επίπεδο του natas έχει τη δική του ιστοσελίδα που είναι στο http://natasX.natas.labs.overthewire.org, όπου Χ είναι ο αριθμός του επιπέδου. Δεν υπάρχει πρόσβαση μέσω SSH. Για πρόσβαση σε ένα επίπεδο, εισάγετε το όνομα χρήστη αυτού του επιπέδου (π.χ. το natas0 είναι για το επίπεδο 0) και το κωδικό πρόσβασης.

Κάθε επίπεδο έχει πρόσβαση στο κωδικό από το επόμενο επίπεδο. Η δουλειά σας είναι με κάποιο τρόπο να αποκτήσετε τον επόμενο κωδικό πρόσβασης και να ανεβείτε επίπεδο. Όλοι οι κωδικοί είναι επίσης αποθηκευμένοι στο /etc/natas_webpass/. Π.χ. ο κωδικός για το natas5 είναι αποθηκευμένος στο αρχείο /etc/natas_webpass/natas5 και μπορεί να το διαβάσει μόνο το natas4 και natas5.

Ξεκινήστε από εδώ:


Όνομα χρήστη:      natas0
Κωδικός πρόσβασης: natas0
URL:               http://natas0.natas.labs.overthewire.org

Άρα ας κάνουμε αυτό που μας προτείνει το παιχνίδι, ας επισκεφθούμε τη σελίδα natas0.natas.labs.overthewire.org με τα στοιχεία σύνδεσης που μας δόθηκαν. Όταν τοποθετήσουμε τη διεύθυνση του παιχνιδιού στο πρόγραμμα περιήγησης ιστού που χρησιμοποιούμε θα δούμε ένα παράθυρο όπως αυτό που βλέπετε εδώ για να βάλουμε τα στοιχεία σύνδεσης.

Πηγή: Προσωπικό αρχείο
Πηγή: Προσωπικό αρχείο

Βάζουμε τα στοιχεία που ήδη γνωρίζουμε από τη σελίδα περιγραφής και τότε μεταφερόμαστε σε μία πολύ απλή ιστοσελίδα. Βλέπετε μία εικόνα από την ιστοσελίδα αυτή εδώ.

Πηγή: OverTheWire.org
Πηγή: OverTheWire.org

Το κουμπί που βλέπετε δεξιά να γράφει «WeChall Submit Token» είναι για άτομα που ενδιαφέρονται για τις βαθμολογίες από τέτοια παιχνίδια και κρατάνε ένα κεντρικό σύστημα βαθμολόγησης. Καθώς εμείς το κάνουμε για τη γνώση και όχι για τη βαθμολογία, μπορούμε να το αγνοήσουμε. Για να κατανοήσουμε το πως θα βρούμε τον κωδικό πρόσβασης πρέπει πρώτα να γνωρίζουμε το πως γίνεται η επικοινωνία μέσω του πρωτοκόλλου HTTP. Όπως βλέπετε στη συνέχεια, το URL αποτελείται σε αυτή τη περίπτωση από κάποια πεδία τα οποία χωρίζονται με κάποιους ειδικούς χαρακτήρες. Τα πεδία αυτά τα εξηγούμε εν συντομία εδώ.

Πηγή: Προσωπικό αρχείο
Πηγή: Προσωπικό αρχείο

Όταν βάζουμε ένα τέτοιο URL στο πρόγραμμα περιήγησης που χρησιμοποιούμε, τότε αυτό επιλέγει το πρωτόκολλο επικοινωνίας που βλέπει (δηλαδή HTTP σε αυτή τη περίπτωση), και έπειτα ζητάει από τον εξυπηρετητή στη διεύθυνση natas0.natas.labs.overthewire.org να του στείλει τα περιεχόμενα του αρχείου που υπάρχει μετά το τελευταίο /. Καθώς δεν υπάρχει κανένα αρχείο, θα στείλει αυτό το όποιο έχει ρυθμιστεί να στέλνει ως πρώτη σελίδα, κατά κανόνα αυτό είναι το αρχείο index.html. Πρακτικά, όλο αυτό ο περιηγητής μας το κάνει στέλνοντας ένα μήνυμα προς τον εξυπηρετητή που μοιάζει με το παρακάτω.


GET / HTTP/1.1
host: natas0.natas.labs.overthewire.org

Δηλαδή, του λέει «φέρε» ή στα Αγγλικά GET οτιδήποτε υπάρχει στο / χρησιμοποιώντας την έκδοση 1.1 του πρωτοκόλλου επικοινωνίας HTTP από τον εξυπηρετητή natas0.natas.labs.overthewire.org. Όταν ο εξυπηρετητής λάβει αυτό το μήνυμα, θα κατασκευάσει τη σελίδα με ότι έχει προγραμματιστεί να περιέχει και θα τη στείλει πίσω στον περιηγητή μας σε μορφή HTML. Όταν ο περιηγητής λάβει το αρχείο αυτό σε μορφή HTML θα το εμφανίσει όπως του το περιγράφει η γλώσσα σήμανσης HTML. Η HTML είναι μία απλή γλώσσα που λειτουργεί με ετικέτες (tags). Μπορούμε να δούμε τη σελίδα που βλέπουμε κάθε φορά σε μορφή HTML πατώντας δεξί κλικ και «View Page Source» ενώ βρισκόμαστε σε αυτή τη σελίδα.

Πηγή: Προσωπικό αρχείο
Πηγή: Προσωπικό αρχείο

Αν κάνουμε αυτό το πράγμα για αυτή τη σελίδα του παιχνιδιού θα δούμε κάτι πολύ ευχάριστο. Ο κωδικός πρόσβασης είναι γραμμένος ως HTML. Ο λόγος που δεν εμφανίζεται είναι ότι είναι γραμμένος ως «σχόλιο». Δηλαδή μέσα σε ένα ειδικό tag το οποίο χρησιμεύει μόνο για πληροφοριακούς λόγους και δεν εμφανίζεται ποτέ στη τελική απεικόνιση της σελίδας.

Πηγή: Προσωπικό αρχείο
Πηγή: Προσωπικό αρχείο

Ασφαλώς, το πρώτο επίπεδο ήταν εξαιρετικά εύκολο αλλά όπως έχουμε δει και στο πολεμικό παίγνιο Krypton η δυσκολία θα ανεβαίνει σταδιακά και συνήθως φτάνει σε αρκετά υψηλό επίπεδο. Σίγουρα ένα ενδιαφέρον πρώτο επίπεδο.

το βρήκαμε εδώ

Natas
#Πολεμικά #Παίγνια #OTW #Natas

Latest articles

Find us on

Latest articles

Related articles

Προσβολή στόχων με έμμεσα πυρά (αποστολή βολής) – commandos.gr...

Για την εκτέλεση παρατηρούμενης έμμεσης βολής ακολουθούνται τα εξής τρία στάδια: Εντοπισμός του στόχου (εξακρίβωση της θέσης του). αίτηση πυρών με...

Σχολή Υποβρύχιων Καταστροφών – commandos.gr – Ειδικές Δυνάμεις

των Περικλή Ζορζοβίλη και Δημήτρη Μανακανάτα, ΠΕΡΙΠΟΛΟΣ Ανοιξη 2006 Από την εποχή της συγκρότησής της, το 1953 μέχρι...

Σχολείο Υποβρυχίων Καταστροφών (ΣΥΚ) – Θέματα για τις Ελληνικές...

Η Ελλάδα εισήλθε στη συμμαχία ΝΑΤΟ στις 18 Φεβρουαρίου 1952 και σύντομα ξεκίνησαν οι συνεκπαιδεύσεις και ανταλλαγή...

Πυρομαχικό SMArt 155 (DM702) – commandos.gr – Ειδικές Δυνάμεις

To SMArt 155 είναι ένα έξυπνο, αυτόνομο και αποτελεσματικό πυρομαχικό Πυροβολικού τύπου «fire and forget», το...

Σωστικά μέσα ιπταμένων – commandos.gr – Ειδικές Δυνάμεις

Ατομικό Σωσίβιο Ιπταμένου LPU – 10/P Φοριέται κάτω από το life jacket, με τους ασκούς στην εξωτε­ρική μεριά...

Στρατιωτική Ελεύθερη Πτώση – commandos.gr – Ειδικές Δυνάμεις

Οι επιχειρήσεις Στρατιωτικής Ελεύθερης Πτώσης χαρακτηρί­ζονται γενικά από πτήσεις πάνω ή δίπλα από τον Αντικειμενικό Σκοπό (ΑΝΣΚ)...