[NATAS 𝟯] LEVEL 𝟯 -> LEVEL 𝟰 : Solution

[ Natas 3 ]

 

Level 3  →  Level 4

.

.

.

 

http://natas3.natas.labs.overthewire.org/

 

[Hint]
1. 페이지 소스 보기
2. 검색 제어: robots.txt

---

이전 문제와 똑같이 이 페이지에 아무것도 없다고 나옵니다.  그래서 이전 문제와 같은 방식으로 푸는 건가 해서 F12 개발자 도구의 Source를 봤는데 index를 제외한것은 뜨지않습니다.

 

.

.

.

 

 

 페이지 소스를 확인해보면

 "더 이상의 정보는 유출되지않는다. 심지어 구글조차도 이것을 찾지못할거다" 라는 문구가 있습니다. 검색엔진인 구글조차도 찾지못한다는건 검색엔진을 제어 또는 차단해놨다는걸 유추할 수 있습니다. 그래서 검색엔진 제어 방법을 찾아보면  검색방지 로봇인  robots.txt이 있다는 걸 알 수 있습니다.

---

* robots.txt

 

 "로봇 배제 표준은 웹 사이트에 로봇이 접근하는 것을 방지하기 위한 규약으로, 일반적으로 접근 제한에 대한 설명을 robots.txt에 기술합니다."라고 위키백과에 명시되어있습니다.

 robots.txt를 처음 접해보시는 분들에게는 어려운 설명일 수도 있으니 쉽게 설명해드리겠습니다.

 운영하는 웹사이트를 대상으로 검색엔진 로봇들이 주기적으로 웹페이지를 수집해서 검색자료를 만들어냅니다. 그런데 운영하는 웹사이트에 개인정보가 같은 중요정보들이 노출되면 안되겠죠? 또한 웹 해킹을 하면서 많은 정보를 수집하기 위해서 검색 엔진을 이용하면 유용합니다. 이런 부분들을 대응하는 가장 일반적인 방법은 검색을 제어해주는 robots.txt를 만드는 것입니다. 예를 들어 http://도메인/robotst.txt파일이 있다면 구글 검색 엔진은 robots.txt에 있는 디렉터리는 검색하지 않습니다. 즉, 외부에 노출되길 원하지않는 내용은 robots.txt에 넣어두면 되겠죠?! 하지만 요즘에는 이 파일을 역으로 해킹할 수 있다는 점으로 보안상의 취약점으로 꼽히기 때문에 잘쓰이지않는다는것도 알아두면 좋을 것 같습니다.

 

 - Use

  http://도메인/robots.txt

 

 - Ex:

  1) 모든 검색 로봇(*)에게 모든 문서 접근을 허락한다

      User-agent: *

       Allow: /

  2) 모든 검색 로봇(*)에게 모든 문서 접근을 금지한다

      User-agent: *

      Disallow: /

  3) 모든 검색 로봇(*)에게 특정 폴더 접근을 금지한다

      User-agent: *

      Disallow: /폴더명/

     : 특정 폴더 접근 금지시 폴더명 뒤에 '/'까지 입력해줘야한다

 

 - HTML

  :HTML에서는 robots.txt를  meta태그로 이용할 수 있습니다.

 

---

그래서 위의 사용방법대로 http://natas3.natas.labs.overthewire.org/robots.txt 로 들어가보니

 

  모든 검색 로봇에게 s3cr3t 라는 특정 폴더 접근을 금지한다는것을 알 수 있습니다.

  그래서 금지하는 특정 폴더에 접근을 해보니 http://natas3.natas.labs.overthewire.org/s3cr3t/

 

 

  users.txt라는 파일이 존재한다는 것을 알 수 있습니다.

  users.txt라는 파일에 들어가보면

 

  natas4의 비밀번호가 Z9tkRkWmpt9Qr7XrR5jWRkgOU901swEZ임을 알 수 있습니다.