해킹 연습 방법과 해커들의 놀이터: HackTheBox

안녕하세요~! 지난주는 해킹을 처음으로 접하는 방법에 대해 알려드렸는데 오늘은 새로 배우신 기술을 어디서, 어떻게 실습할 수 있는지에 대하여 설명해드리겠습니다.

​

더 자세하게 말씀드리자면 Hackthebox의 다양한 놀이터들에 대해 이야기해 보도록 하겠습니다: Machines, Challenges, ProLabs 그리고 가격.

​

Active와 Retired Machine

일단은 가격에 대해 설명해드리자면 hackthebox를 무료로 쓸 수 있기는 하나, 위 사진에 나오는 "Active Machines"만 풀 수 있습니다! 총 20개 정도 됩니다. 한 달에 15파운드 (약 2만 5천) 가격에 "Retired Machine"까지도 풀 수도 있습니다! Active 하고 Retired의 차이가 있습니다. Hackthebox는 우리 해커들이 풀 수 있는 machine을 자주 만들어주고 몇 주나 몇 달 동안 그대로 "은퇴 머신" (Retired Machine)이 될 때까지는 hackthebox를 무료로 쓰는 사람들도 풀 수 있습니다. Retired Machine을 풀고 싶은 사람들은 구독하여 한 달에 2만 5천 원을 내야 합니다. 그렇다면 구독하고 총 machine 몇 개가 있을까요? 바로 225개 정도!!!! 엄청나게 있죠? 자기의 모의 침투 실력을 machine 225개나 해킹을 하면서 연습할 수 있습니다!

​

아울러 좋은 것을 하나 언급하자면, 다양한 난이도 있다는 것입니다. Easy, Medium, Hard, Insane.

Easy 머신들은 간단하게 metasploit이나 웹 취약점으로 풀 수 있는 반면에 Hard와 Insane 같은 경우에는 Binary Exploitation가 아주 많고 골치를 아프게 하는 해킹 기술을 많이 배울 수 있습니다! 해킹 초보이든 프로페셔널 해커이든 누구나 hackthebox에서 무언가를 배울 수 있습니다!

그리고 Retired Machine 경우에는 풀어보려다 더 이상 어떻게 해야 할지 모르겠을 때는 walkthrough가 있습니다! 궁금하신 분들은 유튜브 ippsec 한번 알아보세요! 영어이긴 하지만 이 분은 모든 hackthebox 머신의 풀이에 대한 비디오가 있습니다. Active Machine의 풀이도 구글링 좀 하다가 찾을 수는 있지만 hackthebox 규칙 반칙이며 다른 해커들에게 예의도 아닙니다. 왜냐? HackTheBox에 Leaderbord가 있습니다. Active Machine의 user과 root를 뚫으면 포인트를 받고 승부욕이 강한 해커들은 자기들끼리 치열한 경제가 있기 때문입니다 ㅎㅎ

​

Challenges

모의 침투 말고도 다양한 Challenges도 있습니다! 한국에 인기가 많은 pwn, reversing뿐만 있는 것이 아니라, Web, Forensics, Crypto, Hardware 등 있습니다!

Prolabs

저의 생각에는 가장 재밌고 어려운 것은 바로 Prolabs입니다! 하지만 반면에 꽤 비싸다는 것이 단점이라고 할 수도 있겠네요. Prolabs는 한 달에 3만 2천 원을 따로 내야 되기도 하고 1십1만 원짜리 수수료도 내야 합니다. 이 비싼 Prolab이라는 것이 도대체 무엇이길래 이렇게 비싸지?라고 궁금해하시겠죠?

제가 위에 설명해드린 일반 머신들은 "컴퓨터 하나만 해킹"인 반면에 Prolab는 네트워크 전체 뚫는 것입니다! Prolab은 현제 5개 있고, Prolab마다 네트워크 사이즈가 다르긴 하지만 네트워크 하나에 15개 컴퓨터에서 28개까지 속합니다. '회사 네트워크 뚫기" 이렇게 해석하시면 됩니다! 컴퓨터 하나를 성공적으로 해킹하고 pivot를 하여 처음으로 해킹한 컴퓨터로 네트워크 안에 있는 다른 컴퓨터나 서버 등을 해킹하는 것입니다. 몇 시간 만에 풀 수 있는 것이 아니고 몇 주에서 몇 달까지 걸릴 수 있습니다! Prolabs도 lab마다 난이도 다르지만 Prolabs를 시도하기 전에 튼튼한 토대가 있어야 됩니다. Active Directory, Pivoting, Post Exploitation 등 알아야 할 것이 아주 많습니다. 그래서 저도 실력이 아직 많이 부족해서 시도도 못해봤지만 리뷰들을 읽어보니 나중에 해커나 Red Teamer가 되고 싶은 사람들은 무조건 시도하면 좋을 것 같다는 의견이 많더라고요.

​

한국은 어떤지 잘 모르겠지만 서양 회사들은 hackthebox를 하면서 쌓인 경험을 인정해 준답니다! Leaderboard에서 얼마나 높은 자리를 차지하는지, ProLabs 풀었는지, 서양 회사들은 그런 것을 다 본다고 들었습니다! 그러니까 자격증 공부만 하지 말고 HackTheBox에서 경험도 쌓읍시다!

​

오늘도 읽어주셔서 감사합니다!

​

앞으로는 HacktheBox와 Tryhackme 모의 침투 문제 풀이를 올려보고자 합니다!