Thomas Christlieb

SSH-Hacking Game

von

Thomas
in , ,

Neulich hab ich auf der Seite des Chaostreffs Gunzenhausen einen Link zu einem „Wargame“ entdeckt. Und zwar sind diese Wargames so eine Art Hacking-Spiele. Es geht darum sich auf einen Linux Server einzuwählen und User-Passwörter zu kriegen.
Hier gehts zu der Seite: OverTheWire Wargames

Als Beispiel führe ich mal die ersten paar Levels des Spiels Bandit vor.
Man startet also als User bandit0 und muss das Passwort für den User bandit1 kriegen, danach das für bandit2, bandit3 und immer so weiter.
Am Anfang ist das Passwort einfach in einer Datei zu finden, später dann muss man die Datei sortieren, doppelte Zeile rauswerfen, BASE64 Verschlüsselungen knacken und gegen Ende mit Netzwerkservern um das Passwort kämpfen.

Los gehts mit dem Game Bandit

Level0: Unsere Aufgabe:

The goal of this level is for you to log into the game using SSH. The host to which you need to connect is bandit.labs.overthewire.org. The username is bandit0 and the password is bandit0. Once logged in, go to the Level 1 page to find out how to beat Level 1.

Wir loggen uns also als User bandit0 mit dem Password bandit0 auf dem Server bandit.labs.overthewire.org ein:
(ich nutze hier einen Windows-Computer, deshalb das Programm Putty)

bandit_login

Nach dem anmelden schaue ich mir mit ‚ll‘ (ein Alias für ‚ls -la‘ der unter anderem auf Ubuntu Systemen existiert) den aktuellen Ordner an, mit ‚cat readme‘ lass ich mir den Inhalt der Datei ‚readme‘ anzeigen:bandit_01
Und da ist das Passwort!

Nun also schnell eingeloggt mit ‚bandit1‘ und dem Passwort ‚boJ9jbbUNNfktd78OOpsqOltutMc3MY1‘. Diesmal ist die Aufgabe:

The password for the next level is stored in a file called - located in the home directory

Na das kriegen wir doch hin. Nur einfach ‚cat -‚ tippen funktioniert nicht, denn ‚cat -‚ bedeutet dass cat hinter dem ‚-‚ noch einen Parameter erwartet. Wir müssen cat also sagen dass ‚-‚ eine lokale Datei ist.
Wer seine Linux Kommandos kennt kommt hier auch weiter, simpel ein ‚./‘ davor hängen, das heißt ‚im lokalen Verzeichnis‘:
bandit_03
Und schon haben wir das Passwort für das nächste Level. Easy 🙂

Ich denke damit sollte alles klar sein. Nach dem Game ‚Bandit‘ kann ich übrigens ‚Leviathan‘ empfehlen – auch ein SSH Hacking Game.
Und danach ‚Natas‘ – da gehts dann aber ums Hacken von Webseiten!

Wer Hilfe oder einen Hint braucht kann sich gerne melden, dann helf ich gern.

PS: Und der Alias ‚ll‘ funktioniert weil der Server scheinbar ein Ubuntu 14.04 ist:
bandit_04

 

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Time limit is exhausted. Please reload CAPTCHA.