PCxBlog ช่วงไอทีมีสาระกับฟซบ
วันอังคารที่ 28 มิ.ย. 59 วันนี้ลองเล่น DVWA ต่อจากเมื่อวาน
แต่เนื่องจากว่ามันก็คล้าย ๆ กับตัว XVWA ที่เคยเล่นไป แต่คราวแล้วคือเล่นแบบ Manual เลย ไม่ได้ใช้ Tool อะไรเข้ามาช่วยเท่าไหร่ มีบางข้อใช้ Burp Suite บ้าง เพื่อเปลี่ยนแนวการเล่น วันนี้เลยลองใช้พวก Kali Linux เข้ามาช่วย
วันนี้ก็ได้งมไปด่านนึง คือ Brute Force โดยการใช้โปรแกรม hydra เข้ามาช่วย ได้รู้จักความหมายของพารามิเตอร์ต่าง ๆ มากขึ้น พวก -e ns -F -t 1 -w 5 -W 1 -v -V บลา ๆ ใครอยากรู้ความหมายเพิ่มเติมลองศึกษาจากลิงก์นี้ดู https://blog.g0tmi1k.com/dvwa/bruteforce-low
แต่ก็ยังงง ๆ นิดหน่อยกับการใช้ S={ … } และ F={ … } เพราะบางครั้งก็เหมือนจะได้ บางครั้งก็เหมือนจะไม่ได้
ส่วนตอนบ่ายพี่เขาก็ถามถึงโปรเจกต์จบว่าจะทำอะไรนะ ก็เล่าไป เกี่ยวกับตัว Penetration Testing Game ที่ว่าจะทำเป็นแนวเกมแฮกสู้กัน เป็น CTF แบบ Attack-Defense Mode ไรงี้ ก็คุยกันว่าตัวจัดการเรื่องการ Submit Flag คงจะใช้ Facebook CTF ที่ลองแงะไปวันนั้น แต่ว่าตัวด่านแต่ละด่าน คงต้องสร้าง VM แยกขึ้นมา กำลังถกกันว่าจะสร้างแยกด่านละ VM ไปเลยดีรึเปล่า หรือแค่ VM เดียวแล้วจำกัดสิทธิ์การเข้าถึงเอา หรือไม่ก็ใช้ Docker เข้ามาช่วย (ยังไม่เคยศึกษาเลยแม้แต่น้อย) แต่ก็จะติดปัญหาตรงที่ว่าถ้าช่องโหว่ของด่านนั้น กลับทำให้มันได้สิทธิ์ root ไปเลยล่ะ จะคุมไม่ให้ไปได้ flag ของด่านอื่นยังไงดี หรือจะตัดปัญหาโดยการเลือกช่องโหว่ที่ไม่ถึงกับได้สิทธิ์ root จะได้หมดปัญหา -.-
ที่พี่ถามว่าทำโปรเจกต์แนวไหนก็เพราะว่า..จะได้ให้งานหรือให้ไปศึกษาในสิ่งที่จะสามารถเอาไปต่อยอดในโปรเจกต์ได้ด้วย จะได้คุ้ม ไม่เสียเวลาเปล่า
