2020.12.27 Sun - 워게임, 실습 준비

이제는 매주 공부한 내용을 이 카테고리에 꾸준히 적어보고자 한다. 아마 매일매일 하는 모든 내용을 다 여기다 적을 순 없겠지만 대분류로 어떤 공부를 했고 어떤 실습을 해봤는지 등을 기록해나가다보면 어디가 부족하고 내가 게을렀거나 열심히했는지 되돌아볼 수 있는 수단이 될 것이다.

워게임 풀이

이전처럼 꾸준히 wargame.kr, los.rubiya.kr의 문제들을 풀고 그 풀이를 블로그에 업로드하고 있다. 두 사이트 모두 슬슬 난이도가 어려워지고 있기 때문에 다 풀려면 시간이 좀 걸릴것 같다. 지금까지 푼 문제들의 절반쯤을 블로그에 풀이를 작성했는데 나머지도 얼른 블로그에 업로드해야겠다. 사실 풀이는 일부러 하루에 한두개씩 쓰고있는데 약간 daily quest같은 느낌으로 꾸준히 할 수 있는 과제처럼 하면서 매일매일 공부하는 습관을 들이려고 한다. 하지만 이것도 금세 매너리즘에 빠져서 뭔가 다른 자극이 필요할 것 같다.

 

최근에 보안프로젝트의 유튜브 영상중에 진로QA - 시나리오 모의해킹 프로젝트를 해야 하나요? 워게임 풀이를 하는 것이 좋은가요? - YouTube라는 영상을 봤는데 여기서 말하길 단순히 워게임을 풀고 풀이를 쓰는 것 뿐 아니라 이를 모의해킹에 어떤 방식으로 활용할 수 있을지 생각해보면 좋다고 했다. 워게임을 풀면서 얻은 스킬이나 지식을 실제로 모의해킹 환경에서는 어떻게 활용할 수 있을까? 이를 확인하는 가장 좋은 방법은 최대한 비슷한 환경의 취약한 사이트를 구축해서 공격 기법들을 적용해보는 것이라 생각한다. 그렇기 때문에 워게임을 풀면서 얻은 스킬이나 지식을 어디 정리해두었다가 나중에 DVWA든 bwapp이든 취약한 이미지에 직접 실습해보는 쪽으로 계획을 세워야겠다.

실습 준비

요즘 오픈소스 도구를 활용한 웹 모의해킹과 침해대응을 읽다가 중후반까지 대부분 툴 사용법이고 마지막에서야 모의해킹을 수행하기 때문에 뭔가 부족함을 느껴서 화이트 해커를 위한 웹 해킹의 기술울 읽어보고 있다. 해당 도서를 구매하면 제공해주는 Udemy 강의에서 칼리 리눅스에 DVWA 1.9 버전을 설치하는 것을 요구하기 때문에 일단 칼리 리눅스를 먼저 설치하고 XAMPP를 이용해 DVWA를 설치했다.

 

칼리 리눅스는 이곳에서 이미지로 다운받아서 VMware로 임포트했다. 특별한 설치는 할 필요는 없었지만 한글 설정이 안되있었기 때문에 이곳을 참조해서 다음과 같은 명령어로 한글 세팅을 적용했다.

sudo apt install fcitx-lib*
sudo apt install fcitx-hangul
sudo apt install fonts-nanum

 

DVWA는 원래 Metasploitable 2에 설치되어 있는 1.07 버전을 쓰려고 했지만 현재 강의에서 DVWA 1.9 버전에 있는 CAPTCHA 공격 실습을 진행하기 때문에 그냥 칼리 리눅스에 추가적으로 구버전 XAMPP를 설치해서 DVWA 1.9를 설치했다. DVWA는 PHP 5에서만 동작하기 때문에 최신버전(PHP 7)을 쓸 수는 없었다. 이후 DVWA의 설정 파일(config/config.inc.php 였던듯)에 CAPTCHA 관련 공개키, 비밀키를 넣어줘서 설정을 완료했다. CAPTCHA는 구글 reCAPTCHA에서 v2, "로봇이 아닙니다" 버전으로 키를 발급받아야 했는데 왜 필요한것인지는 좀 알아봐야겠다.