[bandit] level 20

✅ Level 20 : There is a setuid binary in the homedirectory that does the following: it makes a connection to localhost on the port you specify as a commandline argument. It then reads a line of text from the connection and compares it to the password in the previous level (bandit20). If the password is correct, it will transmit the password for the next level (bandit21).

 

🖊︎  backdoor shell 취약점 이용한 exploit

 

./suconnect 파일을 일단 그냥 한 번 실행해 보니 뒤에 인자로 포트번호만 넘겨주면 된다고 함

./suconnect 실행

 

 

nmap 으로 열린 포트 검색, netstat 으로 LISTEN 중인 포트 확인 후 연결 되어있지 않은 포트 하나씩 ./suconnect 명령 활용해 연결해보니 1) 3000번 포트에서 패스워드 일치한다고 뜨지만 다음 레벨 암호를 넘겨받지는 못했고 2) 4091번 포트는Read: Password: 에서 작업이 잠깐 중지되어야 내가 이전단계 암호를 입력할 수 있는데 바로 넘어가 버려서 에러 뜬 듯함

 

 

netstat 으로 listen 포트확인

nmap port scanning

./suconnect [port number] 실행결과

 

 

일단 둘 다 프로세스가 포그라운드에서 다 실행되어버려서 뭘 할 수가 없으므로, 기존 명령어 뒤에 & 붙여 백그라운드에서 실행시켜 보기로하고, 특히 3000번 포트가 패스워드 일치한다는 것으로 보아 저기있을 가능성 가장 높지만 4091 도 혹시 모르니 둘 다 시도 해 봄

 

 

port : 3000

port : 4091

 

 

 

1) 3000번 포트의 경우 여전히 패스워드 일치하지만 sending ~ 메시지 주면서 아무것도 안 보내주는 것을 보니, 리버스쉘 방식으로 연결하여 서버측에서 정보 확인해야 봐야 할 듯 함

 

2) 4091번 포트의 경우 패스워드 보냈는데 작업완료 되어 버리는 것을 보니 패스워드 일치하지 않아서 그러하며, 고로 이 포트는 아니라 결론 내림

 

 

| 3000 번 포트 백그라운드로 실행시켜놓고 창 분할을 위해 tmux 명령실행 > ctrl + b, % 로 좌우 pane 분할

$ ./suconnect 3000 &

$ tmux

 

 

 

| 리버스 쉘 실행

1) nc 명령 이용하여 서버(Attacker) 측에서 포트 열어놓고 클라이언트 접속 대기

2) 클라이언트(Victim)가 해당 서버로 접속하면 connection 수립

3) 서버 측에서 이전단계 passwd 입력

4) 전송된 passwd 읽고 비교한 후, 일치 하면 다음단계 패스워드 전송

5) passwd 전송받음

6) connection 종료

 

 

성공.

 

 

 

bandit+ )

PPP(Point-to-Point Protocol) / https://kimkmg.tistory.com/55

Socket 통신 절차 간략히 정리 (TCP) / https://kimkmg.tistory.com/56

세션 연결 끊겨도 프로세스 동작하게 하는 법 (nohup 명령어) / https://kimkmg.tistory.com/57

tmux 에 대하여 / https://kimkmg.tistory.com/58

NC와 바인드쉘, 리버스쉘 / https://kimkmg.tistory.com/59