読者です 読者をやめる 読者になる 読者になる

絵を描くCTFer

CTFつよくなりたい

OverTheWireの bandit0 から bandit26 までをやってみた

CTF

タイトルのとおり

昨日の21時、22時頃にふとやろうと思い立って完走するまでやっていた

(一応、期限を約1日と決めて)

自分のメモ代わりに writeup を残すので、これからやる人の参考にでもなれば


※いろいろ表示が汚い部分があります

  • Level 0

ホスト名 bandit.labs.overthewire.org にユーザ名:bandit0 パスワード:bandit0 で ssh して終わり

  • Level 1

bandit1@bandit.labs.overthewire.orgにsshするとreadmeがあるのでcatして終わり

boJ9jbbUNNfktd78OOpsqOltutMc3MY1

  • Level 2

sshすると、"-"というファイルがありそれにパスワードがあるらしい
"-"という名前だとオプションと認識されてしまいcatやlessできない
rm -- -testなどとすれば"-"のついたファイルを操作することができるらしいがcatやlessできなかった

よって、ディレクトリを一層上に移動して
そこからパスを指定してcatしたらいけた

cat ./bandit1/- で終わり

CV1DtqXWVFXTvM2F0k09SHz0YwRINYA9

  • Level 3

sshすると、spaces in this filenameというファイルがあり、それにパスワードがあるらしい

空白をどう処理するかを問いているのだろうが、bashの補完機能を使えば一発なのでtabで補完してcatでおわり

UmHadQclWmgdLOKQ3YNgjWxGoRMb5luK

  • Level 4

sshすると、inhereというディレクトリがあるので、とりあえず移動

lsしてみるとなにもないので、どうせ隠しファイルだろうと-aオプションをつけてls

案の定「.hidden」というファイルがあったのでcatしておしまい

pIwrPrtPN36QITSp3EQaw936yaFoFgAB

  • Level 5

sshすると前回と同様、inhereディレクト

移動してlsしてみると、「-file00」から「-file09」までのファイルがある

"-"がついたファイルの処理はbandit2辺りで学んだので、file -- -file00としてみる
するとバイナリであったのでcatしても無駄
一応、--file09まで調べてみると、--file07だけがテキストファイルだったのでcatしておわり

koReBOKuIDDepwhWk7jZC0RTdopnAYKh

  • Level 6

ssh, inhereにcd するとmaybehere00〜maybehere19までのディレクトリがあり,恐らくfindして探すんだろうなと思ったが
findの指定がいまいちうまくいかず、結局量も少なかったため一からcdして怪しそうなファイルを探していく
ヒントにはサイズが1033とあったので、隠しファイルも表示するようにls -laで見ていく
すると、maybehere07にて .file2というファイルのサイズが1033であったのでcatしておしまい

DXjZPULLxYr17uwoI01bNLQbtFemEgo7

  • Level 7

sshするとなにもないので、問題文を見てみる
すると「このサーバーのどこかにあるよ、所有者はbandit7, group名はbandit6, ファイルサイズは33bytes」と丁寧にかかれていたので
ファイルサイズが33で, /からfindしてみると、/etc/bandit_pass/bandit7というファイルが目に入ったので、見ようとしてみるとpermission denied、引っかかった

もう一度findについて調べてみると、-user ユーザ名 で指定したユーザが保有しているファイル・ディレクトリを検索できるらしい find万歳!
ってことで/にて、find ./ -user bandit7としてみると、大量のPermission deniedが表示されて面倒だったので、2>/dev/nullで処理
find ./ -user bandit7 2>/dev/null すると、先ほど見た/etc/bandit_pass/bandit7というファイルの他にもう一つ、./var/lib/dpkg/info/bandit7.passwordというファイルが見つかる

よって、ls -lしてみると、ファイルサイズは33bytes、所有者bandit7, group名はbandit6、とバッチリ一致したので、catしておしまい

HKBPTKQnIay4Fw76bEy8PVxKEDQRKTzs

以下のサイトが非常に参考になった。有難や・・・

findコマンドで覚えておきたい使い方12個(+1個) | 俺的備忘録 〜なんかいろいろ〜

  • Level 8

sshしてみると、data.txtというファイルがある
ファイルサイズも見ないでとりあえずcatしてみるとものすごい量の出力が十数秒止まらなかった
ようやく出力が終わり、ファイルサイズを見てみると4184396、つまり約4Mbyteのテキストファイルであった(安易なcatはダメだと学んだ)
問題文を見てみると、millionthの次のワードだよとあったので、grepして終わりやんけと思って、cat data.txt |grep millionth でおしまい

cvX2JJa4CFALtqS87jk27qwqGhBM9plV

問題文はしっかり読もうと思った

  • Level 9

sshするとまたもや,data.txt
今回はしっかりと最初に問題文に目を通してみると、一回しか出てこない一行がパスワードらしい
lessしてみると、確かに重複しているものばかり

uniqで重複を取り除くのだろうと考え、cat data.txt |uniq -u (オプションなしだと一つにまとめるだけ、uオプションはまとめるのではなく、削除する)

だが、uniqは”連続して重複している行”を1つにまとめるコマンド

よって、sortしてあげる必要があるので、uniqの前にsortを挟み、cat data.txt |sort |uniq -u でおしまい

UsvVyFSfZZWbi6wgC7dAFyFuR6jQQUhR

  • Level 10

sshすると、data.txt
lessしようとしたら、binary fileですけどいいですか?と聞かれてバイナリファイルだと判明
バイナリファイルであれば、表示可能文字を出力してくれるstringsコマンドがある
よってstringsして、banditのパスワードは毎回32文字であり、それらしき文字列がすぐ見つかるのでおしまい

truKLdjsbJ5g7yyJ2X2R0o3a5HQJFuLk

  • Level 11

sshすると、data.txt
ファイルサイズは明らかに小さかったので、cat
するとbase64らしきもので暗号化されている文字列が表示されたので、

echo "VGhlIHBhc3N3b3JkIGlzIElGdWt3S0dzRlc4TU9xM0lSRnFyeEUxaHhUTkViVVBSCg==" |base64 -d

としておしまい

'The password is IFukwKGsFW8MOq3IRFqrxE1hxTNEbUPR\n'

よって、IFukwKGsFW8MOq3IRFqrxE1hxTNEbUPR

  • Level 12

またもやdata.txt

catすると、なにやらrot13らしき文字列

pythoは入っているようなので、pythonを起動して、
>> a = "Gur cnffjbeq vf 5Gr8L4qetPEsPk8htqjhRK8XSP6x2RHh"
>> a.decode("rot13")
u'The password is 5Te8Y4drgCRfCx8ugdwuEX8KFC6k2EUu'

よって、5Te8Y4drgCRfCx8ugdwuEX8KFC6k2EUu

  • Level 13

展開地獄の問題であった

まずsshすると16進ダンプされたテキストファイル,data.txtがある
/tmpの下にディレクトリを作って、作業していいよと問題文にあるので、tmp下にディレクトリを作り、data.txtも持ってくる

xxdコマンドを使えば元のデータに戻すことが可能なので、
xxd -r data.txt > hoge
として変換する(-pオプションはポストスクリプト形式のみつけるため今回はつけない)

取り出したバイナリファイルを見てみると、マジックナンバーが 1f 8b なのでgzipだとわかった
mv hoge hoge.gzとしてから

gzip -d hoge.gz で展開

そしてfileコマンドで確認してみると、bzip2で圧縮されたファイルらしい

よって、bzip2 -d hogeとすると、hoge.outというファイルが出てくる

fileコマンドで確認→ gzipであった

mv hoge.out hoge.gzとしてから

gzip -d hoge.gzで展開

そして展開したhogeをfileコマンドで確認すると、flg: POSIX tar archive (GNU)
どうやらアーカイブらしい

xfオプションでアーカイブファイルを展開できるので、

tar -xf hoge

すると、data5.binというファイルがでてきた

例によってfileコマンドで確認すると

data5.bin: POSIX tar archive (GNU)

またしてもアーカイブファイルなので、

tar -xf data5.bin

すると、今度はdata6.binがでてきた

今度はbzip2らしい

よって、mv data6.bin data6.bz2 からの bzip2 -d data6.bz2

するとdata6が取り出せるのだが、これもアーカイブファイル

よって、tar -xf data6

すると、今度はdata8.binが出てきてこれはgzip

よって、mv data8.bin data8.gz , gzip -d data8.gz

こうしてでてきた data8 がようやくテキストファイルなので、catしておしまい

The password is 8ZjyCRiBWFYkneahHwxCv3wb2a1ORpYL


tarについて
http://webkaru.net/linux/tar-command/

bzip2について
http://itpro.nikkeibp.co.jp/article/COLUMN/20060227/230722/

xxdについて
https://manned.org/xxd/c27ae9e6

  • Level 14

sshすると、sshkey.privateというRSA秘密鍵が与えられている
問題文には、次のレベルへのパスワードは/etc/bandit_pass/bandit14にあり、これはbandit14しか読めないとなっている
よって、private SSH keyがあるから、これ使ってbandit14としてsshして、/etc/bandit_pass/bandit14を読んでね という問題

鍵を指定してsshする方法は知らなかったのでググった

すると、https://support.rackspace.com/how-to/logging-in-with-an-ssh-private-key-on-linuxmac/ のサイトが非常に役に立った

これを元に、ssh -i sshkey.private bandit14@localhost としてssh

するとbandit14としてアクセスすることができ、あとはパスワードを読むだけ

4wcYUJFw0k0XLShlDzztnTBHiqxU3b3e

  • Level 15

sshすると、.sshがあり、その中にauthorized_keysがあり、sshの仕組みがまだよく理解できていない自分は試行錯誤していた

だが、authorized_keysというのは公開鍵を置いておく場所であり、前問でsshしたときにこの公開鍵があるためアクセスできたということだった(ほんと自分がアホだと・・)

問題文には、次のパスワードは現在のレベルのパスワードをlocalhostのport30000番に提出すればいいとあったが、「どうやって提出すんの・・・?」と少し考えた結果、「echoでええやん」という結論に至り、

echo "4wcYUJFw0k0XLShlDzztnTBHiqxU3b3e" |nc localhost 30000

としたところ

Correct!
BfMYroe26WYalil77FoDi9qh59eK5xNr

と、レスポンスが返ってきた

よって、BfMYroe26WYalil77FoDi9qh59eK5xNr

  • Level 16

まず、最初に騙されてかなり時間を持ってかれた・・・

bandit15のパスワードはBfMYroe26WYalil77FoDi9qh59eK5xNrじゃないか!!

sshした先にあった .bandit14.passwordを使っており、全くできなかった・・・
(これ以前の問題で必要だから置いてあったのだろうが、すっかり騙されてしまった・・)

今回は前回と似ていて、現在のレベルのパスワードをlocalhostのport30001番に渡せば良いのだが、SSL encryption、つまりSSL暗号化で渡さなければならない

自分は最初、.bandit14.passwordファイル自体をssl暗号化して渡すのだろうかと

openssl aes-256-cbc -d -in .bandit14.password -pass file:.bandit14.password とか無駄なことをやってしまっていた

途中でs_clientの存在に気づき、

echo "4wcYUJFw0k0XLShlDzztnTBHiqxU3b3e" |openssl s_client -connect localhost:30001
↑ bandit14のパスワード
とやっていて、証明書情報とその下にDONEとレスポンスが返ってくるだけで、なんだこれは、と思っていた

そこで、確か/etc/bandit_pass/とかで自分のパスワードが見れるはずだったので、bandit15のパスワードを表示してみた

BfMYroe26WYalil77FoDi9qh59eK5xNr

違うやんけ

ってことで、

echo "BfMYroe26WYalil77FoDi9qh59eK5xNr" |openssl s_client -connect localhost:30001

として、これでいけるだろと思ったが、HEARTBEATINGというレスポンスが増えただけで、パスワードは貰えない

もう一度問題文を読んでみると、どうやらHEARTBEATINGとなる時は、-ign_eofというオプションを使えとある

よって、

echo "BfMYroe26WYalil77FoDi9qh59eK5xNr" |openssl s_client -ign_eof -connect localhost:30001

としてみたところ、


Correct!
cluFn7wTiGryunymYOu4RcffSxQluehd

read:errno=0

というレスポンスをいただくことができ万々歳だった


どうやら、s_clientの -ign_eof オプションというのは、EOF(end of file)がinputに達した時に接続を切断するのを禁止するらしい
ignore eof、ファイルの終わりを無視するという意味だった

https://www.openssl.org/docs/manmaster/apps/s_client.html

  • Level 17

まず、問題文には次のレベルへの証明書は現在のレベルのパスワードをlocalhostのポート番号31000から32000のどれかにSSLで提出すると、ゲットできるが、それは一つだけとあるので、ポートスキャンする

nmap -p 31000-32000 localhost

で31000番から32000までをポートスキャンした結果、

bandit16@melinda:~$ nmap -p 31000-32000 localhost

Starting Nmap 6.40 ( http://nmap.org ) at 2016-06-25 19:52 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00049s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
31046/tcp open unknown
31518/tcp open unknown
31691/tcp open unknown
31790/tcp open unknown
31960/tcp open unknown

Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds

となっていくつか開いているポートが見つかったので

echo "cluFn7wTiGryunymYOu4RcffSxQluehd" |openssl s_client -ign_eof -connect localhost:ポート番号

で5つすべてに送ってみる

すると、31790のみ、レスポンスとして

Correct!

          • BEGIN RSA PRIVATE KEY-----
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  1. TOWWgECgYEA8JtPxP0GRJ+IQkX262jM3dEIkza8ky5moIwUqYdsx0NxHgRRhORT
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          • END RSA PRIVATE KEY-----

と、bandit17のprivate keyがゲットできたので、あとはこれを元にsshするだけ

だったのだが、リモート先の/tmp/に作成したディレクトリでやろうとしたが、作成できないため、どうやらこうではなく、ローカルで鍵を作成してsshするようだった

よって、sshkey.privateに上の鍵をコピペして

ssh -i sshkey.private bandit17@bandit.labs.overthewire.org

として、アクセスしようとしたのだが、sshkey.privateのPermissionで怒られてしまった

しっかりと、600に設定して

もう一度sshするとうまくいった

bandit17のパスワードは/etc/bandit_pass/で確認した

xLYVMN9WE5zQ5vHacb0sZEVqbrp7nBTn


nmapについて
nmapコマンドで覚えておきたい使い方11個 | 俺的備忘録 〜なんかいろいろ〜


  • Level 18

password.newとpassword.oldのdiffを取ったものがbandit18のパスワード(kfBf3eYk5BPBRzwjqutbbfE887SVc5Yd)なのだが、これでsshしようとしてもByebye!と表示されてすぐ切断されてしまう

→ Level 19へ

  • Level 19

この問題で詰まって結局寝てしまった

起きてからもう一度問題文を読みなおしてみる

"bandit18にログインしようとするときByebye!と表示されるなら、それは次のレベルbandit19と関係しているよ"

ということで、bandit19の問題文を見てみる

"次のレベルのパスワードはホームディレクトリのreadmeファイルにあるよ、でも誰かが、.bashrcを修正してsshでログインするときにログアウトするようにしてしまった"らしい

なんて野郎だ、と思ったがsshするときにreadmeを読み出せればいいんじゃねと思いsshコマンドについてもう一度調べてみる

すると、ssh hogehost ls -al とかでコマンド実行できるらしい
https://hydrocul.github.io/wiki/commands/ssh.html

やった、ということで

ssh bandit18@bandit.labs.overthewire.org ls -al としてみると readmeファイルが見つかったので

ssh bandit18@bandit.labs.overthewire.org cat readme でおしまい

IueksS7Ubh8G3DCwVzrTd8rAVOwq3M5x


最初は眠気からか、"bandit18にログインしようとするとき"という英文をbandit18のログ、つまりsshのログを見るのか・・?とか思って
ローカルの/etc/ssh/ssh_configのLOGLEVELを設定したりと、変なことをやってしまっていた



できない時は寝るのが一番

  • Level 20

sshすると、bandit20-doというファイルがある

ls -lしてみると、どうやらsetuidが立っている

fileコマンドで調べると実行ファイルなので、実行してみると

bandit19@melinda:~$ ./bandit20-do
Run a command as another user.
Example: ./bandit20-do id

こんな風に言われたので、./bandit20-do id と打ってみる

uid=11019(bandit19) gid=11019(bandit19) euid=11020(bandit20) groups=11020(bandit20),11019(bandit19)

すると、uidやらeuidが手に入る

結局これで何すんの・・?と思ったのだが、bandit20-doというファイル名から、引数に任意のコマンド渡してやればいけんじゃねと思いやってみる

bandit19@melinda:~$ ./bandit20-do cat /etc/bandit_pass/bandit20
GbKksEFF4yrVs6il55v6gwY5aVje5f0j

いけた

  • Level 21

恐らく今までで一番詰まった、3時間ぐらいやってようやくって感じだった

まず、sshした先にまたsetuidが立っているプログラムがあり、これを使ってなんかするらしい

問題文を読んでみると、このプログラムは引数に渡したポート番号のlocalhostへの接続を作ってくれるらしい
さらにその時、接続先からテキストのラインを読み、bandit20のパスワードと比べて合っていたら、次のレベルのパスワードを送ってくれるらしい

もうこの時点でよくわかっていなく、とりあえず実行したり、ncにパイプしたりといろいろやっていた

できないので、問題文にNOTEとNOTE2というヒントらしきものがあるので読んでみると、

NOTE: あなたは二度ログインする必要がある、一度はsetuid commandを走らせ、もう一度はsetuidが繋がるnetwork daemonをstartさせる

とあったがさっぱりわからない

NOTE2: まあとにかく自分自身のnetwork daemonに繋げてみろ

は、という感じでさっぱり分からない

使うコマンドはssh, nc ,catのどれかなので、恐らくncしかないだろうと、ncについてもう一度調べてみる

すると、http://www.ksknet.net/linux/nc_netcat.html のサイトに

「nc は -l オプションをつけることでリッスンモードとして起動でき、デーモンサービスとしても使用できる」

とあったので、これだ!とリッスンモードを使うのだろうと考える

二度ログインというのがいまいちわからず、ログアウトしてもう一度そこに繋ぐ・・・?とか散々考えた結果、いやいや二つの状態を作り出すんじゃね?という結論に至り

nc をリッスンモードで起動させてるshellと、もう一度sshしてリッスンモードで起動してるshellになにか送るshellを用意するのだろうと、2つのshellを用意した

ここからがまたよくわからず、とにかくウェルノウンポート以外のポート番号でncをリッスンモードで起動し、もう一つのshellでごにょごにょやっていた

そもそも、このプログラムがどういうプログラムなのかもう一度振り返ってみると、接続先からテキストのラインを読み、とあるので、
nc -l 3100 とかやって、リッスンモードで起動しているshellに、bandit20のパス"GbKksEFF4yrVs6il55v6gwY5aVje5f0j"を貼り付け、
もう片方のshellで

./suconnect 3100

とやれば

Read: GbKksEFF4yrVs6il55v6gwY5aVje5f0j
Password matches, sending next password

という結果が表示され、ncの方を見てみると、bandit20のパスワードをペーストした下に、bandit21のパスワードが表示されていた

gE269g2h3mw3pwgrj0Ha9Uoqen1c9DGr


ポート番号一覧
TCPやUDPにおけるポート番号の一覧 - Wikipedia

  • Level 22

問題文には一つのプログラムが、ジョブスケジューラに従ったタイムのcronで動いている、とある
さらに、形式や何のコマンドが実行されているのかの為に/etc/cron.dを見ろとあったので、見てみる

ls -lしてみると、いろんなファイルがある

怪しそうな、cronjob_bandit22というものがあったのでcatしてみると

* * * * * bandit22 /usr/bin/cronjob_bandit22.sh &> /dev/null

よって、/usr/bin/cronjob_bandit22.shというシェルスクリプトが常時動いているのがわかる

/usr/bin/cronjob_bandit22.shをcatしてみると、

#!/bin/bash
chmod 644 /tmp/t7O6lds9S0RqQh9aMcz6ShpAoZKF7fgv
cat /etc/bandit_pass/bandit22 > /tmp/t7O6lds9S0RqQh9aMcz6ShpAoZKF7fgv

/tmp/t7O6lds9S0RqQh9aMcz6ShpAoZKF7fgvのパーミッションを変えてくれて、そこにbandit22のパスワードをリダイレクトしてくれているらしい

よって、/tmp/t7O6lds9S0RqQh9aMcz6ShpAoZKF7fgvを cat しておしまい

Yk7owGAcWjwMVRwrTesJEwB7WVOiILLI

  • Level 23

問題文を読んでみると、またcronの問題らしい

前問と同様/etc/cron.dにあるファイルをなんかするらしいので移動してls -lしてみる

cronjob_bandit23というものがあったので、cat してみる

* * * * * bandit23 /usr/bin/cronjob_bandit23.sh &> /dev/null

このcronjob_bandit23がどういう処理をしているのか見てみる

cat /usr/bin/cronjob_bandit23.sh

#!/bin/bash

myname=$(whoami)
mytarget=$(echo I am user $myname | md5sum | cut -d ' ' -f 1)

echo "Copying passwordfile /etc/bandit_pass/$myname to /tmp/$mytarget"

cat /etc/bandit_pass/$myname > /tmp/$mytarget

これをこのまま実行してしまっては、whoamiにbandit22が入ってしまい、得られるのは結局bandit22のパスワードなので、

echo I am user bandit23 |md5sum |cut -d ' ' -f 1

とすると、8ca319486bfbbc3663ea0fbe81326349 という文字列が手に入るので

あとは、tmpの下にあるこいつをcatするだけ

cat /tmp/8ca319486bfbbc3663ea0fbe81326349

jc1udXuA1tiHqjIsL8yaapX5XIAI6i0n

  • Level 24

前回と同様、cronの問題

/etc/cron.d/cronjob_bandit24を見てみると

* * * * * bandit24 /usr/bin/cronjob_bandit24.sh &> /dev/null

cronjob_bandit24.shが常時動いているらしい

cat /usr/bin/cronjob_bandit24.sh として中身を見てみると、

#!/bin/bash

myname=$(whoami)

cd /var/spool/$myname
echo "Executing and deleting all scripts in /var/spool/$myname:"
for i in * .*;
do
if [ "$i" != "." -a "$i" != ".." ];
then
echo "Handling $i"
timeout -s 9 60 "./$i"
rm -f "./$i"
fi
done

/var/spool/$mynameの中身を、実行して、削除しているらしい

つまりなんとかして、実行させて、/etc/bandit_pass/bandit24 辺りを読みだせば良いのではと思ったので(cronjob_bandit24はbandit24として実行されるため)

/var/spool/bandit24に移動して、tmp.shを作成する

tmp.sh

#!/bin/sh

cat /etc/bandit_pass/bandit24

としたが、うまくいかなかったので

cat /etc/bandit_pass/bandit24 > hoge

と、リダイレクトするようにする

保存して実行権限を与えようとしたらファイルが消されてしまっていたりして苦労したが、なんとかうまいタイミングで実行権限を与えて実行されるまで待つ

すると、hogeが生成されているので、cat hoge でおしまい

UoMYTrfrBFHyQXmg6gzctqAwOmw1IohZ

  • Level 25

ポート番号30002で、デーモンがリッスンしているらしく、bandit24のパスワードと、4桁のピンコードを与えると、bandit25のパスワードをくれるらしい

さらに、ピンコードの取得方法はブルートフォースしかない、とある

最初は、どこかにシェルスクリプトなどを作成して、実行するのかと思ったが、どこかの回で使った/tmpの下のディレクトリではファイルを作成できず、どうするかと思っていたが、シェル芸的にワンライナーでいいんじゃね、と思いワンライナーで書いてみる

書き方がわからなかったので、ググって、以下のサイトが参考になった

http://qiita.com/yuya_presto/items/d1a50565f187c7c8ec76

これの、シェルだけで、forループのワンライナーの項目を参考にして

for i in {0001..9999}; do echo "UoMYTrfrBFHyQXmg6gzctqAwOmw1IohZ" $i; done

と書いてみる、パスワードとピンコードの渡し方がわからなかったので、nc で繋いで確認してみる

nc localhost 30002

すると、

I am the pincode checker for user bandit25. Please enter the password for user bandit24 and the secret pincode on a single line, separated by a space.

とレスポンスがきて、パスワードとピンコードを空白であければよいとわかる

for i in {0001..9999}; do echo "UoMYTrfrBFHyQXmg6gzctqAwOmw1IohZ" $i; done |nc localhost 30002

としてみるが、どうにもうまくいかない

もしかして、echoだと改行が入っていないので、それが問題じゃないかと思い、

for i in {0001..9999}; do echo -e "UoMYTrfrBFHyQXmg6gzctqAwOmw1IohZ" $i\\n; done |nc localhost 30002

(eオプションで\nが改行として扱われる、さらに\をエスケープして、\\nとする)

echoについて
http://www.mazn.net/blog/2009/01/06/169.html

上のワンライナーを実行すると、

・・・・・・
Wrong! Please enter the correct pincode. Try again.
Fail! You did not supply enough data. Try again.
Wrong! Please enter the correct pincode. Try again.
Fail! You did not supply enough data. Try again.
Wrong! Please enter the correct pincode. Try again.
Fail! You did not supply enough data. Try again.
Correct!
The password of user bandit25 is uNG9O58gUE7snukf3bvZ0rxhtnjzSGzG

Exiting.

よって、uNG9O58gUE7snukf3bvZ0rxhtnjzSGzG



一番楽しかった

  • Level 26

最後の問題だけあって全然できなかった

ssh すると、ホームディレクトリにはbandit26の秘密鍵があるので、これを使って、bandit26にsshする

だが、すぐ切断されてしまって、なにもできない

前に似た問題があったなと、ssh して、任意のコマンド(ls)を実行してみたができない

前にコマンドを移し、パイプする形で実行してみると、

ls -al |ssh -i bandit26.sshkey bandit26@localhost

::::::::::::

/home/bandit26/text.txt

::::::::::::

text.txtがあるのがわかったがよくわからない

どういうことだと思い、問題文を読んでみると、どうやらbandit26では、shellがbashではない「何か」になっているらしい

/etc/shells を確認してみると、使えるshellが確認できるが、その中に、/usr/bin/showtext というshellが確認でき、cat してみると

#!/bin/sh

more ~/text.txt
exit 0

となっていて、先ほどのtext.txt を more しているらしい

ここで、このシェルを ssh するときにログインシェルにするのではないかとか考えてしまい

ssh -i bandit26.sshkey bandit26@localhost -t /usr/bin/showtext などとしてしまっていた

もう一度考え直すと、これ向こうのシェルがshowtextなんだから、ログインした時点でtext.txtがmoreされている?と思ったのだが、

ssh -i bandit26.sshkey bandit26@localhost

としても全くできない


期限は今日の日曜日までとしていたので、ここまで来たがタイムアップ

ほんとにできている人いんのか・・とググってみて以下のサイトの
https://github.com/Cathon/mySolutions/blob/master/overthewire/Bandit/Level_25.md

Step1 before exec the command above the size of terminal should be small enough(util you can see 5 line)


ここで察した・・・

moreされている気配がなかったのは結局、moreするtext.txtが十分な長さがなかったので、普通に表示されている風に見えてしまっていた

よって、ターミナル自体を小さく、上にあるとおり5行ほどにする

そして、

ssh -i bandit26.sshkey bandit26@localhost とすると、表示が途中で止まってくれる

manはviを起動することが出きるので、止まったところで v と打つと、viが起動できるので、あとは/etc/bandit_pass/bandit26にあるパスワードを

:e でファイルを開けるので

:e /etc/bandit_pass/bandit26

として、開いておわり

5czgV9L3Xx8JPOyRbXh6lQbmIOWvPT6Z


他の解答を参考する形になってしまって、非常に悔しかった・・・

頓知を働かせた解答で、思わずなるほど。。。と思った



途中飯も食わず、もくもくとやっていたため、とても疲れた。。。