쉘코드 25byte

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80

쉘코드 31byte

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80\x31\xc0\xb0\x01\xcd\x80

seturuid 미포함

힌트를보면 공유메모리를 이용해서 비밀스런대화를 나누고 있다고 한다.

힌트에 중요한것은 공유메모리로 만들어졋고 key_t의 값은 7530 이라는 것이다.

ipcs명령어로 프로세스간의 통식을 보는데

key 0x00001d6a 16진수가있다. 10진수로 바꿔주면 

힌트에나온 7530인것이다.

위와 같이 코딩후

실행시켜주면

password가 나오게 됩니다.

공유메모리출처 : https://www.joinc.co.kr/w/Site/system_programing/IPC/SharedMemory

소스를보면 buf2 처음에 go가 필요하다.

더미값만 없다면 10byte + go 를 하면 오버플로우가 작용하는데

ftz에서는 dummy값이 존재한다 그래서 10byte부터 1바이트씩늘린결과

16byte + go 가 오버플로우가 작동한다

dummy값 6byte

level9의 shadow파일이 서버에 숨겨져있다

그런데 사이즈가 2700이다?

그럼 바로 find / -size 2700c 로 

txt를 발견했다.

파일을 열어보니 암호화되있는 구문이있었다.

john the ripper로 복호화했더니

password가 나왔다.

apple

힌트를봣는데 그냥 읽어보기만했다.

level7을 찾아봤다.

/bin/level7 으로 가보니

level7은 password를 입력하는 그런 프로그램인것같다.

그런데 ftz에서 wrong.txt가 없다고한다.

그래서 인터넷에서 소스를 봤다.

소스를 거르고보니 

소스를 거르고보니 

이러한 문자가 있는데

2진수로 변환하면

1101101 1100001 1110100 1100101 

10진수로 바꿔주면

109 97 116 101

아스키로 바꿔주면

mate 라는 단어가 나온다. 그대로 password에 입력하면

퀴즈인줄..

인포샵 bbs의 텔넷접속 메뉴

인포샵 머시기.. bbs머시기 몰라서

구글에서 검색했더니 컨트롤 + c를 누르면 쉘이뜹니다.

허------------------무

힌트대로 저프로그램은 /tmp 디렉토리에 level5.tmp를 생성한다

/usr/bin/level5로 프로그램을 실행한후에

level5.tmp 의 내용을 명령어 cat으로 확인하면

password가 나오게 된다.