News

News

Τετάρτη
Μάιος, 31

Πολεμικά Παίγνια: OTW Natas #2

Και φτάσαμε στο δεύτερο επίπεδο αυτού του διδακτικού πολεμικού παιγνίου. Όπως αναφέρουμε όλα τα άρθρα αυτής της σειράς μας, αξίζει να δοκιμάσετε πρώτα μόνοι σας να τα κάνετε και δεύτερον, είναι σημαντικό να έχετε ήδη μελετήσει τα προηγούμενα επίπεδα καθώς το επίπεδο δυσκολίας είναι σταδιακό. Μπορείτε να βρείτε τα προηγούμενα επίπεδα ακολουθώντας τους παρακάτω συνδέσμους.

Πηγή: SmallBizTrends.com

Άρα συνδεόμαστε στο επίπεδο με το όνομα χρήστη natas2 και τον κωδικό πρόσβασης που αποκτήσαμε στο προηγούμενο επίπεδο. Η σελίδα που θα δούμε είναι όπως αυτή που βλέπετε παρακάτω. Δεν έχει κάποιο ιδιαίτερο χαρακτηριστικό.

Πηγή: OverTheWire.org
Πηγή: OverTheWire.org

Σε αυτό το επίπεδο αν μελετήσουμε τη σελίδα σε μορφή HTML όπως κάναμε και σε όλα τα προηγούμενα δούμε κάτι νέο. Συγκεκριμένα το κομμάτι που βλέπετε παρακάτω.

Πηγή: OverTheWire.org
Πηγή: OverTheWire.org

Το ενδιαφέρον είναι στην ετικέτα «img» (image, εικόνα) η οποία φορτώνει ένα αρχείο με όνομα «pixel.png» που βρίσκεται μέσα στο φάκελο «files» μέσω της παραμέτρου «src» (source, πηγή). Αν μεταβούμε σε αυτό το φάκελο, δηλαδή στο URL http://natas2.natas.labs.overthewire.org/files/ θα δούμε το ακόλουθο αποτέλεσμα.

Πηγή: OverTheWire.org
Πηγή: OverTheWire.org

Δε θέλει και πολύ σκέψη για να ανοίξουμε το άλλο αρχείο που βρίσκεται μέσα στο φάκελο, δηλαδή το αρχείο που ονομάζεται «users.txt». Όπως βλέπετε και στη συνέχεια, το αρχείο αυτό περιέχει μέσα και τον κωδικό πρόσβασης για το επόμενο επίπεδο.

Πηγή: OverTheWire.org
Πηγή: OverTheWire.org

Όσο περίεργο και αν φαντάζει, μέχρι και σήμερα χάκερς έχουν πάρει πρόσβαση ή αποσπάσει ευαίσθητες πληροφορίες από χιλιάδες ιστοσελίδες εκμεταλλευόμενοι αυτό το είδος ευπάθειας. Η ευπάθεια αυτή επίσημα ονομάζεται «Directory Indexing» (Ευρετήριο Φακέλων) και σημαίνει ότι ο εξυπηρετητής δεν έχει ρυθμιστεί κατάλληλα και επιτρέπει σε οποιονδήποτε χρήστη από το διαδίκτυο να βλέπει τα περιεχόμενα των φακέλων. Παρότι αυτό ακούγεται αθώο αρχικά, χάρη σε αυτό το διαχειριστικό λάθος έχουν διαρρεύσει (και συνεχίζουν να διαρρέουν) ευαίσθητες πληροφορίες όπως απόρρητα έγγραφα, λίστες με προσωπικά δεδομένα, στοιχεία συνδέσεων σε άλλα συστήματα, κτλ. Σκεφτείτε ότι μέχρι και σήμερα το Directory Indexing είναι μέσα στις 10 πιο συχνές επιθέσεις σε ιστοσελίδες. Σε αυτή τη σελίδα του Sucuri.net μπορείτε να διαβάσετε ένα πραγματικό παράδειγμα όπου χάκερς έκαναν αναζητήσεις για ευπάθειες Directory Listing που θα τους έδιναν πρόσβαση σε αντίγραφα ασφαλείας από βάσεις δεδομένων. Εν συνεχεία οι χάκερς βρήκαν τους κωδικούς πρόσβασης σε διάφορα συστήματα μέσα από τα αντίγραφα ασφαλείας που απέσπασαν με αυτή τη τεχνική και τέλος, τους χρησιμοποίησαν για να πάρουν πρόσβαση στα συστήματα των στόχων τους. Αυτό δίνει μία ιδέα πως ένα τόσο απλό λάθος στις ρυθμίσεις του εξυπηρετητή μπορεί να έχει τραγικά αποτελέσματα.

Πηγή: SecuPress.me
Πηγή: SecuPress.me

το βρήκαμε εδώ

Natas
#Πολεμικά #Παίγνια #OTW #Natas

Latest articles

Find us on

Latest articles

Related articles

Προσβολή στόχων με έμμεσα πυρά (αποστολή βολής) – commandos.gr...

Για την εκτέλεση παρατηρούμενης έμμεσης βολής ακολουθούνται τα εξής τρία στάδια: Εντοπισμός του στόχου (εξακρίβωση της θέσης του). αίτηση πυρών με...

Σχολή Υποβρύχιων Καταστροφών – commandos.gr – Ειδικές Δυνάμεις

των Περικλή Ζορζοβίλη και Δημήτρη Μανακανάτα, ΠΕΡΙΠΟΛΟΣ Ανοιξη 2006 Από την εποχή της συγκρότησής της, το 1953 μέχρι...

Σχολείο Υποβρυχίων Καταστροφών (ΣΥΚ) – Θέματα για τις Ελληνικές...

Η Ελλάδα εισήλθε στη συμμαχία ΝΑΤΟ στις 18 Φεβρουαρίου 1952 και σύντομα ξεκίνησαν οι συνεκπαιδεύσεις και ανταλλαγή...

Πυρομαχικό SMArt 155 (DM702) – commandos.gr – Ειδικές Δυνάμεις

To SMArt 155 είναι ένα έξυπνο, αυτόνομο και αποτελεσματικό πυρομαχικό Πυροβολικού τύπου «fire and forget», το...

Σωστικά μέσα ιπταμένων – commandos.gr – Ειδικές Δυνάμεις

Ατομικό Σωσίβιο Ιπταμένου LPU – 10/P Φοριέται κάτω από το life jacket, με τους ασκούς στην εξωτε­ρική μεριά...

Στρατιωτική Ελεύθερη Πτώση – commandos.gr – Ειδικές Δυνάμεις

Οι επιχειρήσεις Στρατιωτικής Ελεύθερης Πτώσης χαρακτηρί­ζονται γενικά από πτήσεις πάνω ή δίπλα από τον Αντικειμενικό Σκοπό (ΑΝΣΚ)...