둘둘리둘둘리둘둘리둘둘리둘둘리둘

/usr/bin/level5는 level6권한의 setuid가 걸려있고, [그림 1]처럼 실행을해도 /tmp디렉토리에는 level5.tmp라는 파일이 생기지 않는다. [그림 1] 아무래도 level5가 실행되는동안 /tmp에 level5.tmp를 생성했다가 종료되기전에 지워버리는것 같은데, 출제자의 의도를 따르려면 심볼릭 링크를 이용하여 해결 해아할것 같다. 심볼릭 링크는 윈도우의 바로가기 같은 개념으로 원본파일 a와 심볼릭링크 b가 있다면b를 수정하면 a가 변경되지만, b파일 자체를 삭제해도 a에는 영향을 주지 않는다. 그렇다면 심볼릭 링크를 이용하여 level5.tmp의 변경사항은 적용되면서 /usr/bin/level5에의해 삭제되지않는 파일을 만들 수 있다. --풀이 -- 빈파일 A를 하나 생성하고..

힌트 내용이 심플하다. /etc/xinetd.d 디렉토리를 보면 [그림 1]과 같다. [그림 1] [그림 2] 상당히 수상해보이는 backdoor파일을 열어보면 [그림 2]와 같은데 backdoor파일을 해석하기전에 xinetd.d에 대해 알고 있어야 한다. 네트워크를 통해 서비스를 할때 xinetd서비스와 Standalone서비스로 나눠지는데, 지금은 Standalone이 직접 socket 함수를 이용하여 사용자와 연결되는 서비스, xinetd(수퍼데몬)은 수퍼 데몬이 서비스를 관리하여 socket함수 필요없이 표준 입출력을 직접 이용자에게 연결시켜주는 개념이라고 보면 된다. 이제 [그림 2]를 뜯어보면service이름은 finger이고서비스시 실행될 프로그램은 /home/level4/tmp/backd..

[그림 1] level3의 힌트는 [그림 1]과 같다. 먼저 find명령어와 -name옵션으로 autodig가 어딨는지부터 찾아보자. [그림 2] [그림 2]와 같이 autodig는 level4 setuid가 걸려있다. autodig의 소스코드를 보면system함수를 이용하여 커널에 "dig @인자1 version.bind chaos txt"라는 명령을 내린다.dig는 DNS서버에 쿼리를 날리는 툴인데, dig의 사용법까지는 알필요가 없고 우리는 dig 실행 후 다른 명령어를 실행시킬 방법만 생각하면 된다. autodig의 인자값1을 조작해 autodig가 dig뿐만 아니라 my-pass까지 실행하게 하면 된다. - 동시에 여러 명령어를 사용 하려면? -> 세미콜론(;)을 사용하면 왼쪽의 명령이 끝난후 ..

[그림 1] level2의 힌트는 [그림 1]과 같은데. 파일 편집 중 쉘 명령을 실행시키더라도 level2의 권한으로 실행된다면 의미가없다.level1 풀이과정과 마찬가지로 find명령을 이용해 다음레벨(level3)의 권한으로 실행되는 파일 편집기를 찾아보자.. [그림 2] 검색결과 누가봐도 편집기 같은 파일이 나오는데 실행 결과는 [그림 2]와 같은 vi editor다.vi editor 명령어 중 편집중에 다른 명령어를 실행 시킬 수 있는 느낌표(!) 옵션을 이용해서 Shell을 띄운다면편집기에 걸려있는 setuid에 의해 level3의 권한으로 커널에 명령을 내릴 수 있다. 편집기 내에서 /bin/sh 실행 명령을 내리면 [그림 3] [그림 3]과 같이 level3의 권한으로 명령을 내릴 수 있다.

Hacker school FTZ의 첫번째 문제의 힌트는 [그림 1]과 같다 [그림 1] 힌트의 조건을 찾기 명령어 find 옵션 '-user NAME'과 '-perm [+-]MODE'를 이용해 맞춰준 후 검색한다. 검색 결과 파일을 확인하면 -rwsr-x---으로 setuid가 걸려있고 파일 소유주는 level2로 되어있으므로결과 파일은 level2의 권한으로 실행된다. 2>/dev/null 명령은 파일 디스크립터(stdin: 0, stdout: 1, stderr: 2)중 표준 에러 메세지를 /dev/null 로 보내어 에러가 화면에 출력되지 않게 해준다. [그림 2] 조건에 맞는 검색 결과파일은 [그림 2]와 같이 실행 되는데 Shell파일을 실행 시키는 명령어를 입력한다면Shell이 level2의 권..

SUB - 빼기, 연산결과 0-> ZF 1 IMUL - 부호 있는 곱셈, 부호 비트를 제외하고 연산 후 부호를 붙임 CMP - op1,2를 비교, 같으면 ZF = 1 TEST ; Logical Compare - 두 피연산자를 AND연산하여 결과가 0이면 ZF가 1로 세트 됨, 보통 값이 있는지 없는지를 확인할때 사용ex) if( a ) REP ; Repeat - ECX가 0이 될때까지 반복, 시작시 ECX-1 REPNE ; Repeat until not equal - ZF가 1로 세트되거나 ECX가 0이 될때까지 반복, 시작시 ECX-1, 보통 SCAS와 같이 쓰임 SCAS ; Scan string - AL 또는 AX 또는 EAX와 EDI가 가리키는 메모리 내용 비교후 같으면 ZF = 1, 비교한만큼 E..

FAT의 저장방식파일 내용 리스트는 File Entry (FAT#1)에 있고 파일 이름과 내용의 위치,MAC등은 Root directory에 있다. Root directory를 현재의 '새볼륨 (E :)'이라고 생각하면 이해가 쉬울것 같다.Root directory는 Root directory의 내용만 포함하고있고, 그 하위폴더는 하위폴더의 파일 내용을 저장하는 내용을 가진다. 실습환경: XP, FAT32 1GB 파티션 Windows7이나 XP나 FAT의 저장방식은 동일하고, Reserved area의 크기만 다르다HDD의 내용을 쉽게 변경 할 수 없는 Windows7대신 XP를 이용하여 실습함... 1. FAT#1(Directory entry)Reversed Area의 크기를 확인 하여 PBR에서 그만..

FAT32 구조 FAT32 Boot Record 구조 실제 테스트 환경의 PBR영역 2048섹터의 PBR, PBR의 위치는 Partition table entry(링크)를 참조해당 테스트 환경은 Windows7의 2GB FAT32포맷 파티 1. Jump boot codeJump boot code영역의 기계어코드 EB 58 90을 IDA로 연 결과 'jmp short near ptr 5Ah'Jump boot code가 끝나는 부분에서 5A 이동한 곳 부터 Boot code가 시작(EB 58 90이 JMP(EB) 58인것 같기도함, JMP결과가 BPB가 끝나는 부분과 일치)해당 볼륨을 이용해서 부팅할 일이 없다면 어떤값이 와도 무방함.BPB: BIOS Parameter Block, FAT32구조에서 Jump..

볼륨 부트 레코드: 파티션되지 않은 기억 장치의 첫 섹터 또는 파티션된 기억 장치의 개별 파티션의 첫 섹터를 말한다. 파티션 또는 해당 장치에 설치된 운영 체제나 독립형 프로그램을 불러오는 코드를 포함할 수도 있다. 부트 섹터를 사용하려면, 2바이트 16진수 0xAA55 (부트 섹터 서명)가 섹터 맨 끝에 존재해야 한다. 그렇지 않은 경우에는 바이오스나 MBR 코드는 오류 메시지를 보고하고 운영 체제의 부트스트랩 과정을 중단한다.출처 : 위키백과(http://ko.wikipedia.org/wiki/%EB%B6%80%ED%8A%B8_%EC%84%B9%ED%84%B0) VBR(Volume Boot Record)또는 PBR(Partition Boot Record)라고 한다.이 VBR의 시작주소(Partitio..