flaws2
-
[AWS] flAWS2 Challenge - Level3(Attacker)Infra/CloudSecurity 2023. 7. 20. 10:15
flAWS2.cloud level3-oc6ou6dnkw8sszwvdrraxc5t5udrsw3s.flaws2.cloud [AWS] flAWS Challenge - Level5 flAWS level5-d2891f604d2061b6977c2481b0c8333e.flaws.cloud 문제확인 => 해당 문제에서는 그저 HTTP proxy 역할만하는 EC2를 sample로 주고 사용법을 알려주고 있다. 실제로 proxy인지 테스트 해보았고 진짜 단순한 proxy xn--vj5b11biyw.kr => 옹? 이번문제는 기존에 flaws-1에서 풀었던 Level5와 비슷한 문제이다. 해당 문제와 동일하게 Proxy만 하나 제시해준다. 그외에 별다른 힌트는 주지않았지만 기존에 풀었던 문제처럼 뭔가 내부에 접근가능한 요청..
-
[AWS] flAWS2 Challenge - Level2(Attacker)Infra/CloudSecurity 2023. 7. 19. 15:22
flAWS2.cloud level2-g9785tw8478k4awxtbox9kk3c5ka8iiz.flaws2.cloud 문제확인 => 이번 문제는 ECR관련된 문제로 보여진다. 문제에서 제공된 링크에 접속 시, 계정정보를 물어본다. 딱봐도 계정정보를 알아내면 다음 Level로 가는 링크를 알려줄 것 같다. 문제에서 제공한 힌트는 ECR이름이 "level2"라는 것과 s3같이 open된 permission을 가진 AWS 리소스를 사용하라는 것 같다. aws-cli 설치 + aws configure 진행 Install or update the latest version of the AWS CLI - AWS Command Line Interface When updating from a previous versi..
-
[AWS] flAWS2 Challenge - Level1(Attacker)Infra/CloudSecurity 2023. 7. 19. 15:21
flAWS2.cloud flaws2.cloud => 이번에 진행할 flAWS 2는 Attacker와 Defender로 나눠서 문제가 진행된다. 나는 우선 Attacker부터 진행했다.ㅎㅎ => 참고로 2023.07.20 기준 Attacker 문제는 총 3문제이다. 문제확인 flAWS2.cloud level1.flaws2.cloud => 다음 Level로 가기위해서는 PIN code를 맞추라는데.. 100자리만큼 기니까 brute forcing은 꿈도 꾸지말라고 한다. 딱봐도 경험상 이런문제는 100자리를 다때려맞추는건 아닐 것 같다. 그리고 BigIAM challenge때의 경험으로 보았을 때 이런 문제는 웹페이지를 잘 살펴보아야한다. 따라서 웹이 어떻게 동작하는지 또는 어떻게 구성되어있는지 스윽 훑어보..