unkn0wnR2ver5er

▲level6에 접속하였더니 전과 다르게 hint가 바로 보인다

뭔가 미심적었지만 일단 엔터를 눌러 넘어가 보았다.

▲텔넷 접속 서비스라며 1, 2, 3 선택지를 주지만 그 어디도 들어가 지지 않는다.

컨트롤C나 컨트롤D를 눌러봤지만 그것도 되지 않았다.

궁금하여 힌트의 인포샵 bbs 텔넷 접속 메뉴를 검색해보니 이런 글이 있었다.

▲혹시 몰라 hint가 열린 창에서 컨트롤c를 눌러보니 명령어창으로 바로 넘어갔고

ls에 패스워드가 있길래 설마하고 cat을 해보니 바로 나왔다.ㄷㄷ

▲ /usr/bin/level5 프로그램이 /tmp에 level5.tmp라는 임시파일을 생성한다고 한다.

실행해 보니 만들어 지는 듯 하나 바로 없어진다.

감이 안잡혀서 검색해 보니 레이스 컨디션 공격이라고 한다.

레이스 컨디션이란 한정된 자원을 동시에 이용하려는 여러 프로세스가 자원의 이용을 위해 경쟁을 벌이는 현상이라고 한다.

이 점을 이용하여 임시 파일의 심볼릭 링크를 생성하고 삭제된 임시파일의 값을 알아내거나 변조시키는 공격이다.

▲a.c 와 b.c에 각각 위와같이 코딩하고 컴파일 하였다.

a.c는 for문으로 임시파일을 지속적으로 생성해 준다.

b.c는 for문으로 /level5.tmp가 없어지기 전에 level5.attack라는 심볼릭 링크를 지속적으로 생성해 준다.

즉 a와 b를 동시에 실행하면 패스워드를 알아낼 수 있다.

스레드를 이용하여 위 코드들을 합칠수 있을 듯 하지만 아직 실력이 부족하여 못하였다.

▲ ./a & \ ./b 라고 실행하면 마지막에 패스워드가 나타난다.

&명령은 ./a 프로그램을 백그라운드로 실행하라는 의미를 가진다.

ㄱ

▲ hint에 /etc/xinetd.d/ 에 백도어를 심어 놓았다고 한다.

백도어(backdoor)란 뒷문 이라는 의미로 본래의 인증절차를 걸치지 않고 접근한다.

ls를 해보니 누가봐도 백도어 파일인 backdoor가 있었다. cat으로 실행하니 저런 결과가 나왔는데

분석해보니 finger라는 서비스에 level5유저의 권한으로 level4계정의 tmp안의 backdoor 프로그램을

실행시켜 준다. 즉 tmp폴더에 우리가 원하는 코드를 집어넣어 익스플로잇 할 수 있다.

▲간단하게 코딩을 한 뒤 gcc로 컴파일 하였다. 많은 사람들이 쓰는 서버라

ls 하였더니 많은 파일이 보였지만 상관없다. 컴파일 까지 마친 후

finger level4@localhost 라는 명령어를 입력해 주면 자동으로 finger서비스에서

backdoor파일을 실행시켜 level5권한으로 my-pass를 실행해 패스워드를 알려준다.