Articles

Zapojení v OverTheWires Wargames

Alt Text

OverTheWire nabídka kolekce wargames, které jsou navrženy tak, aby vám pomůže učit se a procvičovat bezpečnostní koncepty kromě posilování a cvičení je především způsob myšlení. Myšlení mimo krabici je nepochybně nejsilnější schopností hackerů nebo kodérů. Existuje milion-a-jeden skripty a další nástroje tam a všechny z nich jsou velmi snadné použití ve srovnání s rozvojem této schopnosti. I v případě, že máte znalosti, abyste je mohli napsat sami, budete stále potřebovat potřebné pouliční chytrosti k dosažení požadovaného výsledku. Rozvoj tohoto myšlení vám pomůže při řešení problémů po zbytek vašeho života.

Alt Text

první wargame OverTheWire s názvem „Bandit“ je zaměřen na absolutní začátečníky. Naučí vás základy, které budete potřebovat vědět, abyste se mohli zapojit do svých dalších válečných her, které se zvyšují v obtížích, když se pohybujete po úrovních. Bandit vás naučí používat Linux shell, vzdálená připojení a SSH (secure shell). Pokud nejste obeznámeni s SSH, poskytnu velmi stručné vysvětlení. První iteraci SSH (SSH-1) vyvinul Tatu Ylönen na Helsinské Technické univerzitě. K jeho vzniku se přihlásil útok na univerzitní síť. SSH je kryptografický síťový protokol pro bezpečné provozování síťových služeb v nezabezpečené síti. Jedná se obvykle o věci jako vzdálený příkazový řádek, přihlášení a vzdálené provádění příkazů. Pomocí SSH lze zabezpečit jakoukoli síťovou službu. Byl navržen jako náhrada za Telnet a další (nezabezpečené) vzdálené protokoly shellu. Před SSH tyto protokoly odeslaly informace (jako hesla) v prostém textu, což je učinilo citlivými k zachycení pomocí analýzy paketů. Bude analýza paketů budoucím blogovým příspěvkem? Kdo ví.

hry na OverTheWire jsou organizovány do úrovní a je určen pro vás k dokončení předchozí úrovně před postupující. Na rozdíl od ‚červení vs modří‘ hacking CTF (capture the flag) zápasů, OverTheWire wargame apartmá se hraje sólo, tak tam je mnohem méně, organizační režie, která je nutná, aby se věci začaly. Skuteční přátelé jsou stejně přeceňováni. Každý ví od pana. Robot, který má super-leet imaginární. Upozornění na Spoiler.

Bandit má v současné době 34 úrovní. Navrhované pořadí hrát hry je začít tam na úrovni 0, pak jakmile jste pracovali přes to přejít buď Leviathan, Natas, nebo Krypton. Poté navrhují Narnii, Behemoth, Utumno a Maze v tomto pořadí. Existují také Vortex, Semtex, Manpage a Drifter. Bandit je navržen tak, aby seznámit uživatele s příkazového řádku a SSH a nastavit si některé dovednosti potřebné pro novější hry. V Narnii je uživatel seznámen se základním vykořisťováním. Máte k dispozici zdrojový kód každé úrovně v Narnii, aby bylo snazší najít zranitelnosti. Behemoth se zabývá běžnými chybami kódování, jako je přetečení vyrovnávací paměti, podmínky závodu a eskalace oprávnění. Většina her pro začátečníky nevyžaduje předchozí zkušenosti s kódováním,ale určitě se stane užitečným, jak postupujete. Každá shell hra má svůj vlastní SSH port a tyto wargames jsou skvělý způsob, jak se seznámit s příkazovým řádkem a obecnými koncepty zabezpečení sítě.

Chcete-li začít s ‚Bandit‘ budete potřebovat SSH. Hostitel je bandit.labs.overthewire.org na portu 2220 s přihlašovací jméno a heslo bandit0. Můžete připojit prostřednictvím příkazového řádku:
ssh -l bandit0 -p 2220 bandit.labs.overthewire.org

Pro uživatele Ubuntu můžete nainstalovat SSH server s:

sudo apt update
sudo apt upgrade
sudo apt install openssh-server

Pro Windows (non-WSL) uživatelé si budou muset stáhnout PuTTY zde:
https://www.putty.org

OverTheWire také používá tabuli vyvolán wechall příkaz v SSH shell. Je poskytována WeChall na https://www.wechall.net. Chcete-li použít tabulku, přejděte na web WeChall a zaregistrujte se k účtu. Přejděte na Account pak WarBoxes pro získání tokenu. Upravte ~/.bashrc přidání:
export WECHALLUSER="YourUserName"
export WECHALLTOKEN="YOUR-WECHALL-TOKEN-HERE"

Next, upravte ~/.ssh/config a přidáme:
Host *.labs.overthewire.org
SendEnv WECHALLTOKEN
SendEnv WECHALLUSER

Další informace:
https://overthewire.org/wargames/

Please do not hesitate to contact me if there is a particular subject you would like covered in a future blog post.