lunedì 19 ottobre 2015

Il Mio Viaggio Nel Mondo Dell'Hacking - OverTheWire: Wargames (Bandit Level 3-5)

Nel precedente articolo ho introdotto i wargames (sfide hacking) del sito OverTheWire di cui sono rimasto affascinato. Ho deciso quindi di intraprendere una serie di post in merito ed ho riscontrato entusiasmo nei lettori. Le wargames piacciono e c'è poco da discutere. L'importante è saperle usare per comprendere l'hacking, non leggerle come se fosse un passatempo (puoi anche farlo ma non ne riceverai nulla in cambio). Bene. Ora superiamo i prossimi livelli.


Livello 3

Il secondo livello è stato leggermente impegnativo, dico leggermente. Ci ha preparato per ciò che viene in seguito.

Il livello 3 si prospetta non molto complicato, forse più semplice del livello precedente. In pratica la password è dentro il file che si chiama spaces in this filename.

Connettiamoci.
ssh bandit2@bandit.labs.overthewire.org
Inserisci la password che hai ottenuto nel livello precedente.

Bene. Ora vediamo i file presenti sul server:
ls
L'unico file presente è quello che cerchiamo. Apriamolo:
cat spaces in this filename
Errore. Questo accade perchè il comando cat è come se prendesse in input come file da leggere solo "spaces", le altre parole le considera come comandi a parte (i comandi infatti sono distaccati dagli spazi). Il problema è risolto semplicemente inserendo le virgolette in modo da far considerare il nome del file come unico blocco e non come tanti parametri separati dagli spazi.

Scrivi, quindi:
cat "spaces in this filename"
Password trovata! Avanti il prossimo livello.

Livello 4

La pagina del livello 4 ci dice che la password è contenuta in un file nascosto che si trova nella cartella inhere.

Connessione SSH:
ssh bandit3@bandit.labs.overthewire.org
Usiamo il comando ls per vedere i vari file e cartelle.
ls
C'è soltanto la cartella inhere, che contiene il file che stiamo cercando. Spostiamoci nella cartella inhere con il comando cd:
cd inhere
Ora vediamo cosa contiene tale cartella:
ls
Nulla. O meglio, nulla che possiamo vedere. Il file è nascosto, ricorda.

Il comando find fa proprio al caso nostro. Esso cerca e ci mostra tutti i file che si trovano nella cartella e che rispettano dei requisiti.
find
Abbiamo utilizzato find senza specificare parametri (senza specificare requisiti) quindi ci mostra tutti i file che la cartella contiene. Vi è un solo file ed è proprio quello che stavamo cercando. Vediamone il contenuto:
cat .hidden
Un'altra password trovata. Facile come bere un bicchiere d'acqua...

Livello 5

Livello 5: la password, come nel livello precedente, si trova in un file nella cartella inhere ma stavolta non ci sarà un unico file. La password si troverà nell'unico file con caratteri comprensibili, gli altri file avranno dei caratteri speciali non comprensibili.

Diamo un'occhiata alle cartelle.
ls
Bene. Ora spostiamoci nella cartella inhere.
cd inhere
Vediamo quanti e quali file contiene:
ls
Beh, ce ne sono 10. Proviamo ad aprire il primo file (ricorda di inserire ./ perché il nome del file inizia con un trattino).
cat ./-file00
Caratteri incomprensibili. Non è ciò che stiamo cercando. Proviamo col secondo file.
cat ./-file01
Neanche. Tenta fin quando non trovi la password (caratteri comprensibili). Il file che contiene la password dovrebbe essere -file07.
cat ./file07
Password trovata e altro livello completato.

Conclusioni

Ho deciso di proporre al massimo 3-4 livelli per articolo, anziché molti, per due ragioni: la prima è che impiego meno tempo nello scrivere l'articolo, quindi i miei cari lettori aspetteranno meno tempo tra un articolo e l'altro; la seconda è che in questo modo chi legge riesce a metabolizzare sia il funzionamento dei comandi che il processo di pensiero per risolvere questi wargames che, a mio avviso, sono abbastanza coinvolgenti.

Ovviamente, se hai dei consigli, proposte, critiche, scrivi nei commenti.

10 commenti:

  1. Continua cosi grazie a te mi sto appassionando
    molto

    RispondiElimina
    Risposte
    1. Grazie, questo è il mio scopo, far appassionare chi legge.

      Elimina
    2. Direi che ci sei riuscito, almeno con me, il livello 5 si sta rivelando insidioso...

      Elimina
  2. TI preferisco quando facevi delle guide, magari più complicate.

    RispondiElimina
    Risposte
    1. Infatti questi articoli sui wargames sono secondari (e non li sottovalutare, sono solo i primi livelli, successivamente occorrerà piú impegno e diventeranno delle vere e proprie guide).

      Ultimamente ho puntato sui wargames perchè impiego poco a scriverli ed io, attualmente, ho poco tempo.

      Continuerò a fare guide come prima? Certo che continuerò a fare le guide, anzi se hai dei consigli, sono ben accetti.

      Elimina
  3. fai una guida su come hackerare il proxy

    RispondiElimina
  4. Bello ed interessante! Susciti molta voglia e curiosità, mi piacerebbe saperne di più.

    p.s. A quando i prossimi livelli?

    RispondiElimina
    Risposte
    1. Grazie del commento.

      P.S. A breve ci saranno i prossimi livelli.

      Elimina
  5. Salve... sono rimasto affascinato dalla tua guida, e, essendo un patito dell'informatica, ho deciso di partecipare anch' io ai wargames.

    Sono rimasto intrippato al livello 6, perchè ci sono 20 cartelle e ognuna contiene 6 file, ci metterei un giorno solo per controllarle tutte...
    Per caso c'è un comando per velocizzare il processo?

    P.S.: Uso Kali Linux

    RispondiElimina
    Risposte
    1. Nel prossimo articolo sui wargames ci sarà la risposta che attendi tanto (e non sei il solo).

      Grazie del commento.

      Elimina