-
[AWS] flAWS Challenge - Level1Infra/CloudSecurity 2023. 7. 16. 20:08
이번에 포스팅해볼 주제는 flAWS Challenge이다. AWS관련 Wargame이라고 보면 될 것 같다.
참고로 해당 challenge는 친절하게 힌트를 4개정도 지원한다. 때문에 초보자라도 공부하면서 풀어볼 수 있다.
해당 Challenge를 진행하기 위해서는 aws-cli가 설치되어있어야한다.
이 밖에도 문제를 풀다보면 필요한게 조금씩 생기긴하는데 우선은 aws-cli와 자신의 aws credential만 있으면 된다.
flAWS
<!-- ############################################################################### # You're not going to find anything in the HTML code. # This is an AWS challenge. None of what you used in other challenges will be # helpful here. #######################
flaws.cloud
문제내용
aws s3 ls s3://flaws.cloud=> Bucket 관련해서 첫번째 하위 도메인을 찾아보라고한다. 우선 해당 문제의 도메인이 http://flaws.cloud/ 이거이니까 대충 해당 도메인으로 된 버킷이 있나 확인해보았다.
=> 그랬더니 아주 간단하게 힌트관련 html파일과 secret이라고 작성된, 정답이 있을 것만 같은 html 파일이 보여졌다.
aws s3 cp s3://flaws.cloud/secret-dd02c7c.html -=> aws cli의 s3 cp 명령을 통해 해당 파일 정보를 확인해보니 다음 Level로 갈 수 있는 URL을 알려주었다.
문제 해설
=> 너무나 쉽게 1번문제를 해결하고 Level2를 마주하게 되었다! 문제를 풀게되면 왜 이러한 진행이 가능했는지에 대한 설정값과 해설을 보여준다. Level1에서는 flaws.cloud bucket의 객체 내용을 Listing 하는데 Everyone 권한으로 등록이 되어있어서 문제가 되는 것이였다.
다른방법의 풀이
http://flaws.cloud.s3.amazonaws.com/ 또는 https://s3.us-west-2.amazonaws.com/flaws.cloud=> 풀이라기 보다는 s3를 URL형식으로 접근하게 되면 굳이 aws-cli를 이용하지 않아도 접근이 가능하다.
반응형'Infra > CloudSecurity' 카테고리의 다른 글
[AWS] flAWS Challenge - Level5 (0) 2023.07.17 [AWS] flAWS Challenge - Level4 (0) 2023.07.16 [AWS] flAWS Challenge - Level3 (0) 2023.07.16 [AWS] flAWS Challenge - Level2 (0) 2023.07.16 [AWS] AWS Certified security - specialty 자격증 후기(2023.07.09) (0) 2023.07.11 댓글