[LOG] 1월달의 중간점검과 주저리주저리

부제목: 뭐 했다고 벌써 1월

 

1. 공부 

한달 쯤 전부터 계속 드림핵에만 집중했다. 그 동안 약 75문제를 풀었고 공부벌레 타이틀을 얻었다! 이제 100문제까지 또 한달 걸리겠지...

 

1월 10일 기준으로 웹해킹 로드맵을 끝냈고, 전체순위 200위에 워게임 순위 350위다. 솔직히 레벨 4-5 정도 되는 문제를 하나씩 풀면 순위가 팍팍 올라가는 것 보니까 순위에는 딱히 집착하지 않아도 될 것 같다. 재미를 위한 공부에 효율을 따지는 것만큼 비생산적인 게 없다.

 

지난 달에 비해서 수적으로는 별로 푼 게 없다. 예전에는 많이 풀면 하루에 15문제까지도 풀고 그랬는데 요즘은 하루에 한문제꼴로 푼다. 드림핵... 쉽게 풀리는 문제가 하나 없다. 어떤 문제는 분명히 레벨 1인데 레벨 4보다 어려운 것 같다. 한 문제를 나흘씩.... 아니면 몇 주씩까지도 붙잡고 있는 일의 장점은, 풀었을 때 그만큼 쾌감이 엄청나다는 점이다. 절대 잊지 못할 것 같기도 하다. 

 

드림핵 다크스킨 좀 나왔으면 좋겠다

 

그거 말고 재밌는 건 따로 있다. 드림핵은 문제를 풀고 나서 다른 사람들의 라이트업을 열람하고 / 자신 또한 라이트업을 공유할 수 있다. 누군가에게 도움이 될 정도로 정제된 풀이를 쓴다는 건 단순히 문제를 푸는 것과 다른데, 이게 또 플래그를 따기까지의 의식의 흐름을 까서 보여주는 일이라 재밌다. 

 

한 달 반동안 드림핵만 한 것 치고는 나쁘지 않은 성과인 것 같다. 드림핵만 푸느라 좀 시야가 좁아진다는 건 걱정되긴 한다.

 

틈 날 때마다 이거 읽고 있다. 위에 페이지까지 캡쳐한 이유가 있다. 정말 끔찍할 정도로 두껍다. 언제 다 읽지 싶다. 그리고 옛날 책이라 이게 지금도 그런가? 싶은 게 있다. 근데 또 이걸 읽는 이유는 따로 있다. 어떤 부분에서는 드림핵 강의보다도 친절하기 때문이다. 

 

요즘 이론 공부의 필요성에 대해서 느끼는 바가 많다. 뇌 회로를 재 배선했을 때 지식을 완전히 습득했다고 할 수 있다. PS를 해본 사람이라면 동의할 만한 대목이라고 생각한다. 누군가에게 배운 개념을 설명하는 경지에 올라야 한다. 공부하는 학생으로서 고려해야 할 것은, 재배선을 하는 방법에 대해서이다.  

 

나는 컴퓨터학과 수업을 한 번도 듣지 않은 상태로 백준을 켜서 코딩을 시작했고, 해킹 또한 딱히 배경지식을 쌓지 않은 상태로 picoCTF를 켜서 워게임에 맨땅헤딩 했다. 이 방법은 경험을 빨리 쌓는 전략으로서는 좋다.

 

단점은 따로 있다. 무슨 말이냐면, 

 

쿠키에 플래그가 있다! 플래그를 따서 제출해라. -> 너는 방금 XSS를 통해 어드민의 쿠키를 땄고, 거기 플래그가 있었다. -> 그럼 현실의 웹 어플리케이션에서 쿠키를 탈취한다는 건 어떤 의미인가? 다시말해, 너는 어드민의 쿠키를 따서 뭘 할 수 있는가?  

 

해킹을 시작한지 2주일 된 나에게 이걸 물어봤다면 나는 아마도 대답하지 못했을 것이다. 그래서 이론 위주의 공부가 중요하다. 특히나 나같이 야생에서 굴러들어온 해커 지망생에겐... 

 

드림핵은 친절한 다이제스트인데, 사실 문제를 하나라도 풀고 와야 보이는 게 더 많다. 언제 한 번 화이트 해커 디스코드에서 "드림핵이 과연 초보자에게 적합한 사이트인가" 라는 질문이 올라왔었다. 나는 드림핵이 "수학의 정석이지만 개념원리는 아니다" 라고 얘기를 했었다. 그만큼 가끔 강의를 읽어도 머리를 긁적거리게 될 때가 많다. 이 코드가 그래서 뭘 하는데? 싶기 때문이다.

 

결론적으로 문제풀이를 병행하면서 CTF/워게임이 채우지 못한 틈을 이론으로 채우는 건 내 몫이라, htb 아카데미, 책, 드림핵 강의를 통해 보완하고 있다. 

 

2. 대회

만들었던 팀 Cat2Flag가 한국에서 33위, 전체순위 1533위로 2022년을 마무리 했다. 팀 개설일이 11월 말이다. 거의 1달동안 저만큼 대회를 참가해서 순위를 올렸다는 건데, 그만큼 팀 멤버들에게 감사하고 싶다. 대회는 같이 뛰어야 제 맛이다. 연말에 가까워질 수록 대회가 없어서 블로그에 라이트업도 별로 안 올리다가 이제는 다시 올릴 것 같다. 

 

디자인을 전공하는 친구에게 맡겨 로고도 재단장 했다. ㅎㅅㅎ

 

3. 그 외 

감사하게도, 기회가 닿아 나를 좋게 봐주시는 분들이 생겨 프로젝트를 하나 진행하게 되었다. 공부에 지장이 생길 만큼 바쁘진 않지만, 생각보다 손이 가는 부분이 많았다. 아무것도 없는 빈 슬레이트에서 뭔가를 건축한다는 건 정말 어려운 것 같다... 

 

사촌동생에게 보여주려고 WPA/WPA2 와이파이 해킹 모의실습을 찍먹해봤다. iptime N3U가 리눅스랑 호환이 아름다울 정도로 잘 된다. 법을 위반할 생각은 없으므로 우리 집 와이파이로만 하는데, 이게 생각보다 안된다. handshake를 캡쳐해서 .cap파일로 저장한 뒤, 패스워드를 브루트포싱하거나 해야되는데 fluxion같이 깃헙에 풀린 툴도 많다.

 

내가 패스워드를 password 뭐 이렇게 설정해놨으면 단순하게 rockyou.txt로 브루트포싱하면 편했겠지만 현실에서 그런 일은 드물다. 우리 집 와이파이는 KT였고 KT 공유기의 디폴트 패스워드는 숫자와 영어 소문자를 조합한 10자리 문자열로 되어있다. 그 패턴을 안 이상 hashcat을 잘 이용해서 마스킹하면 되겠지만 뭐가 막히는 게 많았다. 그래서 다시 해보고 싶다. 

 

복학하면 공부에서 재미보다도 효율을 따져야 할 텐데 그게 조금 걱정이다. 지금 평균학점이 4.45인데 그걸 유지할 수 있을까도 걱정이다. 시간이라는 게 무섭다. 근데 뭐 지금 걱정해봤자 바뀌는 건 없으니까 재밌게 사는 걸 목표로 해야겠다.