לדלג לתוכן

OverTheWire Bandit ו-Natas מוסבר - משחקי הפריצה הראשונים שלכם

לפני שיש לכם דגלים, ניקוד ולוחות מובילים, יש דבר אחד בסיסי יותר שצריך לדעת: להרגיש בנוח בטרמינל ולהבין איך אתר עובד מתחת למכסה המנוע. OverTheWire היא הפלטפורמה שבנתה את עצמה סביב בדיוק זה, בלי כל הקישוטים, ובגלל זה היא נשארת אחד המקומות הכי טובים בעולם להתחיל בו.

מודל המשחק - wargame

מודל פשוט וגאוני עומד מאחורי OverTheWire, שנקרא wargame. אתם מתחברים דרך SSH לשרת של הרמה הראשונה עם שם משתמש וסיסמה נתונים מראש. בתוך הרמה מחכה לכם משימה, ופתרון המשימה הוא בדרך כלל סיסמה שפותחת עבורכם גישת SSH לרמה הבאה. כלומר ההתקדמות שלכם היא שרשרת פרטי גישה שאתם בונים בעצמכם, רמה אחר רמה. אין ממשק גרפי מהודר, אין הסברים - רק אתם, הטרמינל, והמשימה.

בנדיט - Bandit

משחק ההתחלה הקלאסי הוא Bandit, ומיועד למי שעוד לא ממש מכיר לינוקס. הרמות בו בונות בהדרגה יסודות קריטיים: איך מוצאים קבצים מוסתרים, איך עובדים עם הרשאות קבצים, איך משתמשים בצנרת (piping) בין פקודות כדי לשרשר כלים זה לזה, איך קוראים ומריצים סקריפטים בסיסיים, ואפילו איך עובדים עם משימות מתוזמנות (cron). כל רמה בפני עצמה נראית קטנה, אבל בסוף המשחק תגלו שיש לכם ארגז כלים שלם של טרמינל שהיה חסר לכם קודם.

נאטס - Natas

האח התאום של Bandit, אבל בעולם ה-web, הוא Natas. במקום SSH לכל רמה, כל רמה של Natas היא אתר נפרד עם כתובת משלו, ואתם ניגשים אליו עם שם משתמש וסיסמה של HTTP authentication. המשימה בכל רמה היא למצוא את הסיסמה של הרמה הבאה, שמוסתרת איפשהו באתר - בקוד המקור, בקובץ שאפשר לגשת אליו ישירות, בעוגייה (cookie), או בהתנהגות לא צפויה של האתר. Natas מלמד הרגלים שכל מי שעוסק בפריצת אתרים חייב: להסתכל תמיד על view-source, לבדוק מה קורה בעוגיות ובבקשות HTTP, ולא לקחת שום דבר במסך כמובן מאליו.

למה זה לפני הכל

הפיתוי הטבעי הוא לדלג ישר לפלטפורמות "האמיתיות" עם דגלים ותחרויות, אבל זו טעות נפוצה שגורמת לתסכול מיותר. אם אתם לא מרגישים בנוח עם הרשאות קבצים בלינוקס, מה זה בכלל HTTP authentication, ואיך לקרוא פלט של פקודה - כל אתגר CTF יהפוך למאבק כפול: גם להבין את הבעיה האמיתית, וגם להיאבק עם הכלים הבסיסיים בו זמנית. Bandit ו-Natas מפרידים בין שני הדברים. הם נותנים לכם לתרגל את הכלים הבסיסיים בסביבה שקטה, כדי שכשתגיעו ל-CTF אמיתי, תוכלו להתמקד רק בפתרון החידה עצמה.

עוד משחקים בפלטפורמה

אחרי שסיימתם Bandit ו-Natas, OverTheWire מציעה עוד כמה משחקים ממוקדים למי שרוצה להעמיק. Krypton מוקדש לקריפטוגרפיה בסיסית, ו-Narnia מתמקד ביסודות ניצול פגיעויות בינארי (binary exploitation) - שני תחומים שכדאי להכיר לפני שקופצים לאתגרים המתקדמים יותר בפלטפורמות אחרות.

טיפים

תתקדמו לאט ותתעדו לעצמכם כל פקודה חדשה שלמדתם - זה ייצור לכם מחברת אישית של כלים שתחזרו אליה שוב ושוב. אל תחפשו פתרונות ברשת לפני שניסיתם באמת - הרמות האלה קצרות מספיק כדי להתמודד איתן בכוחות עצמכם, וזה בדיוק מה שבונה את הביטחון שתצטרכו בהמשך.

אם אתם רוצים ללמוד את התיאוריה שמאחורי מה שאתם מתרגלים כאן - הרשאות, רשתות, פרוטוקולים - תבנו את הבסיס עם קורס בדיקות החדירה שלנו ותרגישו את ההבדל כבר ברמה הבאה של Bandit או Natas.

נתקעתם על רמה ורוצים כיוון בלי ספוילר? בואו לקהילה שלנו.

הצטרפו לקהילה בדיסקורד

לסיכום

התשתית שעליה כל השאר נבנה היא Bandit ו-Natas, גם אם הם לא נראים מרשימים כמו מכונה שלמה ב-HackTheBox. תשקיעו בהם ברצינות, וכל מה שיבוא אחר כך יתקדם הרבה יותר מהר.