flAWS
-
[AWS] flAWS Challenge - Level6Infra/CloudSecurity 2023. 7. 18. 15:02
flAWS - Level 6 _____ _ ____ __ __ _____ | || | / || |__| |/ ___/ | __|| | | o || | | ( \_ | |_ | |___ | || | | |\__ | | _] | || _ || ` ' |/ \ | | | | || | | \ / \ | |__| |_____||__|__| \_/\_/ \___| flAWS - Level 6 Lesson learned The IP address 169.254.169.254 is a magic level6-cc4c404a8a8b876167f5e70a7d8c9880.flaws.cloud 문제확인 => 문제가 총 7개인줄 알았는데 마지막 문제이다(답지를 마지막에 보여주니까 6개가 맞긴했네.. ㅎㅎ) 어쨌든 이번 문제에서..
-
[AWS] flAWS Challenge - Level5Infra/CloudSecurity 2023. 7. 17. 10:34
flAWS level5-d2891f604d2061b6977c2481b0c8333e.flaws.cloud 문제확인 => 해당 문제에서는 그저 HTTP proxy 역할만하는 EC2를 sample로 주고 사용법을 알려주고 있다. 실제로 proxy인지 테스트 해보았고 진짜 단순한 proxy였다(http를 사용하는 페이지인 me.go.kr로 시도해도 바로 Redirect 되어버리지면 역시나 proxy처럼 동작했다) => 뭔가 해결을 한뒤 http://level6-cc4c404a8a8b876167f5e70a7d8c9880.flaws.cloud/에 접근할 수 있어야하는데 접속해보니 Access Denied가 났고 내용을 보니 sub-directory를 알아야하거나 Credential 정보를 알아야 접근할 수 있을 것..
-
[AWS] flAWS Challenge - Level4Infra/CloudSecurity 2023. 7. 16. 21:50
flAWS - Level 4 _____ _ ____ __ __ _____ | || | / || |__| |/ ___/ | __|| | | o || | | ( \_ | |_ | |___ | || | | |\__ | | _] | || _ || ` ' |/ \ | | | | || | | \ / \ | |__| |_____||__|__| \_/\_/ \___| flAWS - Level 4 Lesson learned People often leak AWS keys and then try to level4-1156739cfb264ced6de514971a4bef68.flaws.cloud 문제내용 => 문제는 간단하다. 다음 Level로 가기위해서는 4d0cf09b9b2d761a7d87be99d17507bce8b86f..
-
[AWS] flAWS Challenge - Level3Infra/CloudSecurity 2023. 7. 16. 20:41
flAWS - Level 3 level3-9afd3927f195e10225021a578e6f78df.flaws.cloud 문제내용 => 이번 문제도 비슷하다고 한다. 하지만 역시나 꼬았다고하고 AWS Key를 찾으라고한다. 즉, Credential을 찾으라는 것 같다. => 음.. 이전에 찾았던 secret같은 파일은 없고 그나마 눈에 띄는 것은 .git 숨김 디렉터리이다. AWS에서 사용하는 Access key같은 경우 개발자들이 git이나 환경변수에 등록해두었다가 git의 경우 commit 되거나 환경변수의 경우 container image로 upload해서 유출되는경우가 있는데 그런점을 이용하는게 아닌가 싶었다. .git 파일 가져오기 aws s3 sync s3://level3-9afd3927f19..
-
[AWS] flAWS Challenge - Level2Infra/CloudSecurity 2023. 7. 16. 20:25
flAWS - Level 2 level2-c8b217a33fcf1f839f6f1f73a00a9ae7.flaws.cloud 문제내용 => 약간 꼬아서 낸 것 말고는 이전 문제와 비슷하다고 하며 AWS 계정이 별도 필요하다고 한다. 때문에 자신의 AWS 계정을 미리 준비하자. URL 접근 http://level2-c8b217a33fcf1f839f6f1f73a00a9ae7.flaws.cloud.s3.amazonaws.com/ => aws cli로 접근하기전에 URL로 접근을 시도해보았더니 Access Denied가 나왔다. 1번문제의 flaws.cloud bucket의 경우 everyone으로 List가 가능하게 설정이 되어있어 누구나 접근이 가능했던 것으로 보인다. aws cli 사용을 위한 credenti..
-
[AWS] flAWS Challenge - Level1Infra/CloudSecurity 2023. 7. 16. 20:08
이번에 포스팅해볼 주제는 flAWS Challenge이다. AWS관련 Wargame이라고 보면 될 것 같다. 참고로 해당 challenge는 친절하게 힌트를 4개정도 지원한다. 때문에 초보자라도 공부하면서 풀어볼 수 있다. 해당 Challenge를 진행하기 위해서는 aws-cli가 설치되어있어야한다. 이 밖에도 문제를 풀다보면 필요한게 조금씩 생기긴하는데 우선은 aws-cli와 자신의 aws credential만 있으면 된다.