접속을 해보니 두명의 사용자가 공우 메모리를 통해 은밀한  대화를 한다네여

키 값만 알려주는데 공유메모리는 무한정 할당 되는것이 아니기 떄문에 얼마나 할당 되었는지 알아야  합니다.

ipcs -m 명령어로 얼마나 할당 되었는지 알수 있습니다.

1028 바이트나 할당 되었네여

접속 해보니 처음으로 bof 문제가 나왔다.

배열의 크기가 10 인데 최대로 입력받을수 있는 크기는 40이다.

배열의 특징은 배열 크기 뒤의 배열 끝을 알리는 null 배열이 있다. 또한 이 뒤에 배열을 시작 하기 전으로 돌아가기 위해 몇가지 주소가 담겨져 있다 이크기는 배열 4 칸만 큼 지니고 있어서 

총 기본 배열 10 + null 배열 1 + 기타 배열 4 = 15 

그리고 buf2에 go가 들어가야 하므로 

접속을 해보니 힌트에 용량이 2700인 shadow파일을 찾으란다......(그만 찾자!!!)

참고로 shadow파일은 /etc/passwd 파일의 계정 비번이 들어 있는 파일이다. (서로 연관성 있는 파일이다.)

찾아보니 총 4개의 파일이 나왔는데 하나는 이미지 2개는 앞축 파일이다. 그래서 나머지 텍스트 파일을 열어보니

level9의 키가 들어 있다.

shadow 파일의 2번째필드에는 비밀번호가 암호화되어서 들어 있다.

john the ripper로 풀수 있다고 한다.

http://www.openwall.com/john/

크랙커를 다운받고 src 폴더에서 ./configure 한뒤 make -s 하면 run 폴더에 john파일이 생성 되면서 크래커를 실행할수 있다.

found.txt 파일의 내용 한줄을 복사한뒤 일반 파일로 저장한뒤

./join <저장한 파일>하면 자동으로 풀린다.

이번 문제는 새로 ssh로 level6로 로그인 해서 푸는 문제이다.

옛날 인터넷 에서 많이 쓰던 해킹 기법이라는데 여기서 그냥 아무렇게나 엔터를 치면 

접속 메뉴가 나오는데 여기서는 어떠한 해킹은 불가능 하다. 

하지만 이때 ctrl + c를 해주면 쉘로 넘어가진다.

접속해보면 level5 란프로그램은 /tmp 폴더에 level5.tmp라는 파일을 생성한다고 한다.

그래서 level5 프로그램을 실행하고 파일을 열어봐야한다.

그냥 비번을 알려준다.

FTZ에 접속을 해보니 힌트에 누가 백도어를 심어 놓았다는 것이다!!(이런 나쁜놈!!)

/etc/xinetd.d폴더에 가보니

아주 대놓고 백도어라고 써있다.

열어보니

finger서비스이다.

처음에 finger서비스를 찾아보았지만

finger 자체 취약점이 아니라 서비스가 실행되면서 /home/level4/tmp/ 경로에서 backdoor라는 프로그램을 실행시키는 것이다.

따라서 /home/level4/tmp 폴더에 가보니 

아무 파일도 없다..

따라서 새로 파일을 만들어서 finger를 실행 했을때 같이 실행되도록 해야한다.

backdoor.c

#include <stdio.h>

#include <stdlib.h>

int main(){

system("my-pass");

}

접속을 해보면 hint에 소스코드가 있다.

간단하게 dig명령어를 실행시켜주는 프로그램 인데 보기만 해도 취약해 보인다.

추가적인 힌트로 동시에 여려명령어를 실행하면 어떻게 될까? 

리눅스에서는 세미콜론(;)으로 동시에 여러 명령어를 실행할수 있다.

또한 작은 따음표(')로 묶어서 하나의 인자로 보넬수도 있다.

이러한 특성을 이용해서

autodig ' ;/bin/bash;'

명령어로 level4의 쉘을 얻을 수 있다.

level4이다.!!!

ftz에 로그인 해보니 힌드에 파일 편집중에 쉘 명령어를 실행 할수 있다고 한다.

vi 편집기에서 명령 모드에서는 ! <명령어>를 통해 쉘 명령어를 실행이 가능하다.

그러나 level3로 올라가기위해서는 level3의 권한을 가지고 있는 에디터 여야 한다.

따라서 level3의 유저 레벨의 권한을 가지고 있는 에디터를 찾아야 한다.

editor를 실행하면 

:! /bin/bash 명령어로 쉘을 실행 시키자!!

level3이다.

hackerschool의 FTZ level1 문제이다.

FTZ에 접속을 해보니 두개의 디렉토리와 힌트 파일 하나 있다.

level2 권한의 setuid가 걸린 파일을 찾아서 해킹하라는것 같은데

나머지 디렉토리를 뒤져봐도 실행 파일을 찾을수  없다.

그렇다면 검색을 해봐야 하는데 리눅스에서는 find 명령어로 파일이나 디렉토리를 검색 할수 있다.

그런데 uid는 사용자 식별번호이다. setuid는 사용자의 권한을 사용하는것 인데 파일이나 디렉토리에는 특정 사용자만 사용가능하도록 설정이 가능하다.

보통 rwx로 알고 있는데 (또는 777) 여기서 특수 권한 으로 관리를 할 수 있다.

setuid 는 권한을 빌릴 수 있는 특수 권한이다.

4000번 이상으로 설정이 된다.

find명령어로 level2권한의 4000번 이상의 파일을 찾으면 된다.

주의 할점은 일반 유저 권한으로 찾기 때문에 퍼미션 오류가 뜨는 파일을 찾을수 있고 여러 파일을 찾을수 있다.

따라서 퍼미션 오류와 같은 에러 메세지는 출력 하지 않도록 출력 리다이렉션을 시킨다.

2> 는 오류메세지를 파일로 저장할수 있다.

/dev/null 은 휴지통이나 블랙홀 처럼 모든 파일을 없애 버린다. 즉 사라진다.

/dev/null에 저장한다는 것은 오류 메세지를 버린다는것과 같다.

실행 시켜 보니 단한가지의 명령어를 실행가능하다고 한다.

/bin/bash와 같은 쉘을 실행 시키면 그 유저의 쉘을 실행 시킬수 있다.

쉘의 uid가 level2로 변경됬다.