FTZ Level7

hint

/bin/level7 명령을 실행하면 패스워드 입력을 요청한다

1. 패스워드는 가까운곳에..

2. 상상력을 총동원하라.

3. 2진수를 10진수로 바꿀 수 있는가?

4. 계산기 설정을 공학용으로 바꾸어라.

일단 objdump, gdb 전부 못 켜게 permission을 710으로 해 놨네요. rwx--x---

그런데 파일 혹은 디렉토리가 없다고 나타나고, 바로 종료됩니다.

당황스럽네요. 아무것도 주어지지 않고 브루트 포싱으로 풀어야 하나..

아무래도 저 파일이 없으면 문제를 못 풀 것 같은데, /bin 디렉토리에는 root 권한으로만 r/w 권한을 사용할 수 있기 때문에 다른 방법을 찾아야 할 것 같습니다.

정리하면, level7은 디버깅도 안 되고, odjdump 역시 사용할 수 없고, 비밀번호를 입력하고 나타나는 반응 역시 아무것도 없습니다.

red-hat 9.0의 1-day escalation 취약점을 찾아 봤지만, hztty라는 command를 이용하는 것이라 여기서 쓸 수 없는 것 같습니다.

도저히 모르겠어서 결국 다른 write-up을 보았는데, 애초에 wrong.txt를 root 권한으로 생성해 주지 않으면 문제를 풀 수 없다고 되어있네요.

다른 방법들로 시도해보다가 결국 이렇게 하게 되었습니다.

다시 처음으로 돌아와서 

저렇게 나오는게 정상이라고 합니다.

두 개의 기호만 나오기 때문에 이진수일 것이라고 생각합니다.

아무래도 위가 1이거나 0이거나 둘 중 하나일 것이기 때문에, 통념에 따라 상위 상태가 1, 하위 상태가 0이라고 생각하겠습니다.

1101101 1100001 1110100 1100101

이네요.

binary -> decimal로 바꾸는 코드를 작성하고, system 함수를 이용해서 shell에 프로그램 인자를 넘겨주면 될 것 같습니다.

#include <stdio.h>

#include <string.h>

#include <math.h>

#include <stdlib.h>

int main(void)

{

char encrypted_pw[4][7] = {"1101101","1100001","1110100","1100101"};

int decrypted_pw[] = {0,0,0,0};

int idx = 0;

int len;

char pw[5];

for(; idx < 4 ; idx++)

{

int stridx = 0;

int sum = 0;

len = sizeof(encrypted_pw[idx])/sizeof(char);

for(;stridx < len; stridx++)

{

if (stridx == 0 && encrypted_pw[idx][len-stridx-1] == '1')

{

sum++;

continue;

}

else if(encrypted_pw[idx][len-stridx-1] == '1')

{

int pow = 1; 

int count = 0;

for(;count < stridx; count++)

{

pow *= 2;

}

sum += pow;

}

else continue;

}

decrypted_pw[idx] = sum;

}

sprintf(pw,"%c%c%c%c\n", decrypted_pw[0], decrypted_pw[1], decrypted_pw[2], decrypted_pw[3]);

printf("Decrypted Password is : %s\n",pw);

system("/bin/level7");

return 0;

}

소스코드입니다.

성공!