힌트대로 저프로그램은 /tmp 디렉토리에 level5.tmp를 생성한다

/usr/bin/level5로 프로그램을 실행한후에

level5.tmp 의 내용을 명령어 cat으로 확인하면

password가 나오게 된다.

/etc/xinetd.d 에 백도어를 심엇다고한다..

service finger로 동작되는것같다.

server를 보니 /home/level4/tmp/backdoor 서버가 있다.

backdoor파일을 코딩해서

my-pass를 실행시켜주는 파일을 코딩했다..

finger @localhost 를써주면 password가 나온다.

힌트를보면

autodig라는 프로그램의 소스같다.

more hints 를보면

-동시에 여러 명령어를 사용하려면?

-문자열 형태로 명령어를 전달하려면?

동시에 명령어를 사용하려면 세미콜론 ; 를 사용한다.

문자열 형태로 명령어를 전달하려면 "" 큰따옴표를 사용한다.

응용해서 넣어주면

딱 봐도 알 수있는 base64로 인코딩된 문장을 볼 수있습니다.

하지만 디코딩해도 pasword에 맞지않아

저 문장이 아닌걸알고 base64로 디코딩된 문장을보다

sha1 암호의 특징인 글자수가 40개로 나왔습니다

처음에 sha1로 디코딩했을때 no result로 나오길래

double로 해주었더니 

결과값이 나왔습니다.

문제는 swf파일에 pw가 특정값을 입력해서

답이 나오는줄 알았다.

이런문제 한번 풀어본적이있어서

바로 swf decompiler로 열엇더니

이런 조건문이 있었다. 값을 대입해서

참이면 url로 넘어가는방식이지만 url이 나와있길래 바로 풀렷다 ^~^

메인함수의 모습이다

stage별로 나와 있다.

stage1 에서의 조건은 디코딩을 했을때의 문자열은 같은데

인코딩했을때의 문자열을 달라야 한다.

그래서 base64 충돌을 이용해서 stage1을 통과할수 있었다.

TjBfbTRuX2M0bDFfYWc0aW5fWTNzdDNyZDR5Oig=

TjBfbTRuX2M0bDFfYWc0aW5fWTNzdDNyZDR5Oii=

TjBfbTRuX2M0bDFfYWc0aW5fWTNzdDNyZDR5Oih=

TjBfbTRuX2M0bDFfYWc0aW5fWTNzdDNyZDR5Oij=

stage2 의 조건은 input을 2번받는데

input에서받는 두 문자열의 디코딩결과값은 같아야하는데

문자열의 길이는 달라야했다.

TjBfbTRuX2M0bDFfYWc0aW5fWTNzdDNyZDR5Oig==

TjBfbTRuX2M0bDFfYWc0aW5fWTNzdDNyZDR5Oig=

저 두 문장을 사용하여 stage2를 통과하게 되었다.

stage3에서는 팀원이 알려주었는데

엄청난 꿀팁이였던것같다.

head * 를 encode해서 입력하는것이다.

head명령어는 파일앞부분부터 확인하는 명령어입니다.

또 다른 방법으로는 커맨드인젝션으로 풀 수 있다고 한다.

커맨드인젝션을 공부해서 한번 stage3를 다시 풀어보겠다.

codegate서버가 닫혀서 플래그가 제대로 뜨지않았다.

다음에는 서버가 열려잇을때...

이번에도 입력창이 나왔다.

이런 난독문과 조건문이 나와있다.

하지만 우리에게는 콘솔이있다 ㅋㅋㅋ

콘솔에 바로 저 난독문을 넣어주면 값이 나온다.

그리고 저 9997809307

입력하면 password가 나오게 된다

15번은 그냥 권한거부가 뜬후 바로 password가 나온다

권한거부창을 확인누르면 바로 password가 1초정도 나오는데

화면캡처로 풀었다...

순발력 싸움이였다고한다...