도서 소개
TryHackMe를 더욱 잘 활용하기 위해 '7일 로드맵'을 제시한다. TryHackMe의 특정 룸 공략 방법을 설명하는 것이 아니라, 로드맵에 따라 점차 어려워지는 미션을 클리어하며 자연스럽게 사이버 보안의 핵심을 익히게 된다. 칼리 리눅스는 간단히만 다루고 곧바로 실습에 뛰어들어 nmap, dirb, hydra 등 주요 해킹 툴의 사용법을 익히고, 각종 취약점은 물론, 사전(dictionary) 공격, SQL 인젝션 등 실전적인 공격 기법의 이론과 실제를 접할 수 있다.
출판사 리뷰
실제 사이트를 공략하면서 해킹의 기초를 내 것으로 만들기 해킹을 배우는 가장 좋은 방법은 가상 환경에서 실제로 사이버 공격을 체험해보는 것입니다. 하지만 입문자는 가상 환경을 처음부터 구축하는 것도, 공격 대상을 마련하는 것도 어렵습니다. 전 세계 700만 명 이상이 사용하는 TryHackMe(트라이핵미) 웹 서비스는 초보자도 쉽게 도전할 수 있도록 사전에 준비된 공격 대상들을 제공합니다. 다양한 난이도의 '룸'에 도전할 수 있고, 플래그를 획득하는 재미가 있어 즐기듯 해킹을 공부할 수 있습니다.
이 책은 TryHackMe를 더욱 잘 활용하기 위해 '7일 로드맵'을 제시합니다. TryHackMe의 특정 룸 공략 방법을 설명하는 것이 아니라, 로드맵에 따라 점차 어려워지는 미션을 클리어하며 자연스럽게 사이버 보안의 핵심을 익히게 됩니다. 칼리 리눅스는 간단히만 다루고 곧바로 실습에 뛰어들어 nmap, dirb, hydra, Metasploit, Burp Suite(버프 스위트), WPScan, LinPEAS 등 주요 해킹 툴의 사용법을 익히고, 각종 취약점은 물론, 사전(dictionary) 공격, SQL 인젝션, 웹 폼, 액티브 디렉터리 등 실전적인 공격 기법의 이론과 실제를 접할 수 있습니다.
관리자의 실제 SNS를 뒤져보는 등 온갖 방법으로 단서를 찾아 윈도우 머신, 쇼핑몰, 워드프레스 등에 침입하는 실습은 성취감을 주기도 하지만, 사실 그 과정 자체도 꽤 재미가 있습니다. 뭔가를 즐기듯 배울 수 있다면 그것만큼 좋은 게 없죠. 7일이라는 단기간 로드맵으로 책을 구성한 것도, 배움의 흥미를 잃지 않게 하기 위한 저자의 배려일 것입니다. 이에 일본에서 독자들에게 많은 사랑을 받아 아마존 보안관리 분야 베스트셀러 1위에 올랐고, 쇼에이샤 2025 IT 엔지니어 도서상 기술서 부문 대상, 일본 디지털정책포럼 2025 사이버 보안 어워드 우수상을 수상한 책이기도 합니다. 해킹 및 보안에 입문하려는 모든 분에게 이 책을 추천합니다.
7일 로드맵1. Day 1: 해킹을 준비해보자(Tutorial 룸)
2. Day 2: 처음 하는 해킹(Basic Pentesting 룸)
3. Day 3: 악용 금지된 익스플로잇 시도해보자(Blue 룸)
4. Day 4: 흔한 취약점을 이용해 수상한 쇼핑몰에서 놀아보자(OWASP Juice Shop 룸)
5. Day 5: 웹 폼을 통해 침입해보자(Vulnversity 룸)
6. Day 6: 액티브 디렉터리 해킹 실전(Attacktive Directory 룸)
7. Day 7: 워드프레스 해킹 실전(Blog 룸)
8. Day 8: 향후 학습 방향과 KoTH 도전!
TryHackMe를 사용하면 의욕이 있을 때 클릭 한 번으로 타깃 환경이 완성되고, 집중력이 유지되는 동안 바로 해킹을 시작할 수 있습니다. 이것은 꽤나 얻기 힘든 장점이겠죠? (…) TryHackMe는 태스크(Task)라는 형식으로 다음으로 해야 할 것을 지시하기 때문에 헤매지 않습니다. 주어진 퀘스트를 클리어하는 것으로 자연스럽게 경험치가 축적되어 레벨업을 하고 더 어려운 퀘스트에 도전할 수 있게 되는 게임에 가까운 느낌입니다. 설명문을 제대로 읽기만 한다면, 입문 단계에서 아무것도 하지 못하고 끝나버리는 경우도 없습니다.
HTML 주석 속에 코멘트가 있습니다. / 이것은 특별히 중요한 힌트는 아니지만, 아무래도 이 사이트에는 개발자 사이에 정보 공유를 하기 위한 영역이 공개되어 있는 느낌이 듭니다. 다음으로, 이 개발자 노트 섹션을 찾아봅시다. (…) 직접 링크가 노출되어 있지 않더라도, 인터넷에 공개되어 있는 경우에는 주소창에 주소를 입력하면 직접 접속할 수 있습니다. 하지만 현시점에서는, 중요한 그 주소를 모릅니다. 신인 해커인 당신의 칼리에는 유용한 툴이 처음부터 인스톨되어 있기 때문에, 그 툴을 사용합니다. 이번에는 공개되어 있는 디렉터리나 파일을 찾아낼 수 있는 dirb라는 툴을 사용해봅시다.
작가 소개
지은이 : 노미조 노미조
사이버 보안을 즐기는 사람. 디자이너, 프리세일즈, 엔지니어, 고객 성공 등 다양한 직무를 전전하다가, 어느 정보 유출 사건을 계기로 보안 분야에 정착했다. 공격 기법을 연구하는 Offensive Security Lab Japan과 여성 대상 CTF 커뮤니티인 CTF for Girls의 운영 스태프로 활동하는 등 커뮤니티 활동에도 적극적으로 참여하고 있다. CISSP, 정보처리안전보장지원사, 네트워크 스페셜리스트 자격이 있고, '얼티밋 사이버 보안 퀴즈 2024'에서 우승했다. 장래 희망은 슈퍼 해커. X: @nomizooone
목차
옮긴이 머리말 xi
베타리더 후기 xiii
이 책에 대하여 xv
DAY 1 해킹을 준비해보자 1
오늘의 로드맵 2
1.1 TryHackMe에 등록하기 4
1.2 칼리 리눅스 인스톨 8
1.3 초기 설정 18
1.4 VPN 접속 40
1.5 백업하기 48
1.6 첫 번째 룸 클리어하기 50
1.7 정리 55
보너스로 추천하는 보충 학습 콘텐츠 56
DAY 2 처음 하는 해킹 59
오늘의 로드맵 60
2.1 포트 스캔으로 머신 정찰 61
2.2 웹사이트 검색 65
2.3 Samba 공유 폴더에서 힌트 얻기 71
2.4 사전 공격으로 패스워드 크랙하기 75
2.5 머신에 침입하기 81
2.6 여기부터는 스스로 확인해보세요! 82
2.7 정리 85
보너스로 추천하는 보충 학습 콘텐츠 85
DAY 3 악용 금지된 익스플로잇을 시도해보자 89
오늘의 로드맵 90
3.1 머신 정찰 91
3.2 발견한 취약점 조사하기 94
3.3 취약점을 공격해 침입하기 96
3.4 침입한 타깃 머신 조작해보기 103
3.5 플래그 얻기 106
3.6 유저 패스워드 얻기 108
3.7 얻은 패스워드로 윈도우에 로그인하기 112
3.8 정리 114
보너스로 추천하는 보충 학습 콘텐츠 114
DAY 4 흔한 취약점을 이용해 수상한 쇼핑몰에서 놀아보자 117
오늘의 로드맵 118
4.1 쇼핑몰 안을 탐색하기 121
4.2 SQL 인젝션에 도전 134
4.3 취약한 접근 통제(Broken Access Control) 악용하기 142
4.4 안전하지 않은 설계(Insecure Design) 시험하기 150
4.5 스코어보드를 찾아 성과를 확인해보자 166
4.6 정리 168
보너스로 추천하는 보충 학습 콘텐츠 169
DAY 5 웹 폼을 통해 침입해보자 171
오늘의 로드맵 172
5.1 머신 정찰 173
5.2 FTP 조사 174
5.3 웹사이트 조사 176
5.4 업로드 폼 조사 179
5.5 초기 침입 실시 189
5.6 권한 상승 수법 조사 199
5.7 관리자 플래그 훔쳐보기 205
5.8 정리 206
보너스로 추천하는 보충 학습 콘텐츠 207
DAY 6 액티브 디렉터리 해킹 실전 209
오늘의 로드맵 210
6.1 머신 정찰 212
6.2 Kerberos 인증에 대해서 알기 215
6.3 AS-REP Roasting 공격 218
6.4 DCSync 공격 234
6.5 Pass the Hash 공격 236
6.6 플래그 획득 238
6.7 정리 239
보너스로 추천하는 보충 학습 콘텐츠 240
DAY 7 워드프레스 해킹 실전 245
오늘의 로드맵 246
7.1 머신 정찰 249
7.2 공유 폴더 조사하기 251
7.3 워드프레스 탐색 255
7.4 초기 침입하기 260
7.5 권한 상승 방법 조사 272
7.6 SUID 설정 허점을 노린 공격 278
7.7 플래그 획득 282
7.8 정리 283
보너스로 추천하는 보충 학습 콘텐츠 284
DAY 8 향후 학습 방향과 KoTH 도전! 287
8.1 고민된다면 러닝 패스 참조하기 288
8.2 KoTH(King of the Hill)에 도전! 289
찾아보기 295
