FTZ란 Free Training Zone의 약자로 hackerschool에서 배포하는 워게임입니다.
총 20문제로 구성되어 있으며 각 문제를 격파하여 다음 레벨의 패스워드를 얻는 형식입니다.
문제를 격파하고 다음 레벨의 bash를 획득하였다면 my-pass로 패스워드를 확인할 수 있습니다.
사용 linux 명령어
ls - 파일 내역 출력
cat - 파일 내용 확인
find - file search 명령
ex) find / -user level2 2>/dev/null
/(root)디렉터리부터 level2 유저소유의 파일을 탐색하고 오류는 출력하지 않음
send me email if you have any questions.
FTZ Level 1
ID : level1
PASSWD : level1
set-uid? - set-uid가 설정된 파일 실행시 파일 소유자의 권한으로 실행.
즉 level2의 권한으로 setuid가 설정되었다면 level1유저이지만 level2의 권한으로 실행할 수 있다.
find명령으로 /(root)디렉터리부터 모든 파일을 탐색하여 level2의 소유 파일을 검색.
권한을 확인해보면 level2의 권한으로 실행할 수 있도록 set-uid가 설정됨을 확인할 수 있다.
찾은 파일을 실행하여 /bin/bash명령을 실행하면 level2의 bash를 따낼 수 있다.
my-pass명령은 자신의 passwd를 확인하는 명령.
level2의 bash에서 my-pass를 실행하면 level2의 passwd를 획득할 수 있다.