워게임/Hack The Box

[Starting Point] TIER 1 - Ignition

  • -

Question

Which service version is found ro be running on port 80?

번역: 포트 80에서 실행되고 있는 서비스 버전은 무엇인가요?

상세 풀이

정답

nginx 1.14.2


What is the 3-digit HTTP status code returned when you visit http://{machine IP}/?

번역: http://{machine IP}/를 방문했을 때 반환되는 3자리 HTTP 상태 코드는 무엇인가요?

상세 풀이

IP 주소로 요청 시 302 상태코드가 발생하면서 Location 해더의 주소로 리다이렉트가 된 것을 확인

 

해당 Location 해더의 주소는 DNS에 저장이 되어 있지 않기 때문에 /etc/hosts 파일에 지정한다.

 

/etc/hosts에 지정하면 리다이렉트 주소의 응답이 잘 이루어지는 것을 확인 할 수 있다.

 

정답

302


What is the virtual host name the webpage expects to be accessed by?

번역: 웹페이지가 접근을 기대하는 가상 호스트 이름은 무엇인가요?

상세 풀이

정답

ignition.htb


What is the full path to the file on a Linux computer that holds a local list of domain name to IP address pairs?  

번역: 리눅스 컴퓨터에서 도메인 이름과 IP 주소 쌍의 로컬 목록을 저장하는 파일의 전체 경로는 무엇인가요?

상세 풀이

Linux 컴퓨터에서 도메인 이름과 IP 주소 쌍의 로컬 목록을 저장하는 파일의 전체 경로는 /etc/hosts입니다. 이 파일은 시스템이 호스트 이름을 IP 주소로 변환하는 방법에 영향을 미치며, 보통 네트워크 연결이 없거나 DNS(Domain Name System) 쿼리를 줄이기 위해 사용됩니다.

정답

/etc/hosts


Use a tool to brute force directories on the webserver. What is the full URL to the Magento login page?

번역: 웹서버의 디렉토리를 브루트포스하는 도구를 사용하세요. Magento 로그인 페이지의 전체 URL은 무엇인가요?

상세 풀이

gobuster를 이용하여 admin 디렉터리가 존재함을 확인

 

admin 디렉터리에 접근 결과 Magento의 로그인 페이지가 출력됨을 확인하여 해당 서비스가 Magento로 이루어져 있다는 것을 알 수 있었다.

 

정답

/admin


Look up the password requirements for Magento and also try searching for the most commong passwords of 2023. Which password provides access to the admin account?

번역: Magento의 비밀번호 요구 사항을 찾아보고, 2023년의 가장 흔한 비밀번호를 검색해보세요. 어떤 비밀번호가 관리자 계정에 접근할 수 있게 해주나요?

상세 풀이

The Magento Admin is protected by multiple layers of security measures to prevent unauthorized access to your store, order, and customer data. 
The first time you sign in to the Admin, you are required to enter your username and password and to set up twofactor authentication (2FA).

Depending on the configuration of your store, you might also be required to resolve a CAPTCHA challenge such as entering a series of keyboard characters, solving a puzzle, or clicking a series of images with a common theme. 
These tests are designed to identify you has human, rather than an automated bot. For additional security, you can determine which parts of the Admin each user has permission to access, and also limit the number of login attempts. 
By default, after six attempts the account is locked, and the user must wait a few minutes before trying again. Locked accounts can also be reset from the Admin. 

An Admin password must be seven or more characters long and include both letters and numbers.

문서에 따르면 무차별 대입 공격에 대한 대응이 있으며, admin 계정의 비밀번호는 문자와 숫자를 포함한 7자 이상이라는 제한이 존재하는 것으로 확인된다.

 

무차별 대입 공격이 안되기 때문에 자주 쓰이는 패스워드로 로그인을 시도하였다.

 

자주 쓰이는 패스워드 중 qwerty123 문자열로 로그인에 성공할 수 있었다.

정답

qwerty123

'워게임 > Hack The Box' 카테고리의 다른 글

[Starting Point] TIER 1 - Included  (0) 2023.12.30
[Starting Point] TIER 1 - Bike  (0) 2023.08.31
[Starting Point] TIER 1 - Responder  (0) 2023.07.31
[Starting Point] TIER 1 - Responder  (0) 2023.06.29
[Starting Point] TIER 1 - Crocodile  (0) 2023.06.29
Contents

포스팅 주소를 복사했습니다

이 글이 도움이 되었다면 공감 부탁드립니다.