이번엔 /tmp에 level5.tmp라는 임시파일이 생성된다고 한다.

/usr/bin/level5의 코드를 봐볼까 싶어 권한을 보니

level5그룹에게는 실행권한밖에 없다.

아쉬워하면서 tmp로 이동해서 파일을 실행해 보았다.

분명이 /usr/bin/level5를 실행했는데도 level5.tmp파일이 생성되어 있지 않다.

임시파일이라 그런지 바로 삭제되는 것 같다.

혹시나 해서 파일을 미리 만들어 두고 프로그램을 실행해 보았더니 파일이 삭제되지 않고 내용만 적혀있는것을 확인할 수 있었다.

아마 임시파일 특성상 생성 후 바로 지워지는 것일텐데 파일을 미리 만들어 놓아서 삭제하지 못한 것 같다.

level4의 힌트이다. /etc/xinetd.d/에 백도어가 있다고 한다.

ls로 찾아보니 가장 위에 backdoor이라는 파일이 있다.

cat으로 내용을 확인해 보니 잘은 모르겠지만

service finger

user level5

server /home/level4/tmp/backdoor

이 보인다.

대충 finger이라는 서비스를 이용하고 유저는 level5이며 /home/level4/tmp/backdoor을 서버로 설정한것으로 보인다.

현재 pwd가 /home/level4이므로 tmp로 cd하고, backdoor이라는 실행파일을 만들기 위해 code.c를 생성하였다.

처음에 코드를 이렇게 짜고

gcc -o backdoor code.c를 하였다.

그리고 finger을 실행하니

접속해있는 사람들만 뜬다.

finger의 사용법을 보려고 해도

finger 의 usage는 finger [-lmps] [login ...]뿐이다.

구글링한 결과 finger에 host를 정해줄 수도 있다고 한다.

finger @localhost를 실행하면

결과가 나온다.

PS. 사실 finger @localhost를 사용해도 비밀번호가 나오지 않았다. 그런데 저 위에 사용자목록에 level3가 없어지지 않길래 한번 시스템을 재부팅했더니 같은 명령어로 정답이 나왔다.  정답을 얻은 뒤에 똑같은 명령어를 다시 실행해 보았는데 또 출력되지 않는다. finger서비스를 한번 실행하면 그 다음부터는 백도어가 실행되지 않는건지 모르겠다.... ㅠㅠ

먼저 hint파일을 열어보면 autodig의 코드가 적혀있다.

find / -name *autodig* 2>/dev/null로 검색해 보니 /bin/autodig가 있는것을 확인했다. 또 autodig파일에 level4의 setuid권한이 설정되어있는것도 확인했다

힌트를 확인하니 동시에 여러 명령어를 사용하려면? 과 문자열 형태로 명령어를 전달하려면? 이라고 되어있다.

autodig /bin/bash;my-pass를 실행하니

Level3의 비밀번호가 나온다.

한참 생각하다보니 힌트에 '문자열'형태로 명령어를 전달하려면? 이라는 구절이 있었다. 그래서 "/bin/bash;my-pass"를 실행하니

level4의 비밀번호가 "suck my brain"인 것을 알 수 있었다.