Nebula level05

Check the flag05 home directory. You are looking for weak directory permissions

To do this level, log in as the level05 account with the password level05. Files for this level can be found in /home/flag05.

weak directory permissions…?

一樣先看 /home/flag05 裡面有些啥

drwxr-xr-x 1 flag05 flag05 ... .backup
drwx------ 2 flag05 flag05 ... .ssh

有一個動不了的 .ssh 目錄跟一份可以進/看的 .backup 目錄 (目錄的權限有點不直觀…可以看我以前的介紹)

進去 .backup 之後,可以看到一個壓縮檔(.tgz),一個任何人都可以讀取的檔案

-rw-rw-r-- 1 flag05 flag05 ... backup-19072011.tgz

趕緊開來看看


裡面有一些 ssh 會用到的金鑰

關於 ssh 的詳細資訊就不在這邊講了,可以理解做「能夠安全的遠端登入主機」的指令 (以前寫的 ssh 介紹)

三個檔案中有一個公開金鑰 ‘id_rsa.pub’、一個私密金鑰 id_rsa、跟一組「信任清單」 authorized_keys,可以讓我們不用密碼登入 (可以參考這篇 SSH 公開金鑰認證:不用打密碼登入 Linux 設定教學,安全又方便)

有了 level04 的教訓(?),基本可以確定要連上的使用者是 nebulaflag05

所以先把剛才的壓縮檔解壓縮到 /tmp 去 (man tgz 可以知道這是一個壓縮指令,see also 裡面有 gziptar,兩個都翻一翻就能湊出解壓縮指令了)

弄出來之後就可以開始 sshflag05@nebula 了 (一樣 man ssh 然後搜尋 private 去看如何用私鑰進行免密碼登入)

ssh -i /tmp/.ssh/id_rsa flag05@nebula

可以看到我們成功登入 flag05

接下來就可以隨便搞啦

完成 。:.゚ヽ(*´∀`)ノ゚.:。


我想這關想表示的是「重要的檔案都要把權限全部鎖死」這個概念,/home/flag05/.backup 應該是 /home/flag05/.ssh 的備份,但因為沒有把權限鎖死所以就能被我們破解


下一關

回系列目錄