[AWS] flAWS Challenge - Level2

flAWS - Level 2

 

 

문제내용

=> 약간 꼬아서 낸 것 말고는 이전 문제와 비슷하다고 하며 AWS 계정이 별도 필요하다고 한다. 때문에 자신의 AWS 계정을 미리 준비하자.

 

 

URL 접근

http://level2-c8b217a33fcf1f839f6f1f73a00a9ae7.flaws.cloud.s3.amazonaws.com/

=> aws cli로 접근하기전에 URL로 접근을 시도해보았더니 Access Denied가 나왔다. 1번문제의 flaws.cloud bucket의 경우 everyone으로 List가 가능하게 설정이 되어있어 누구나 접근이 가능했던 것으로 보인다.

 

 

aws cli 사용을 위한 credential 설정

aws configure
aws sts get-caller-idenetity

=> 해당 설정이 제대로 이루어졌다면 get-caller-identity 실행 시, UserId, Account, Arn이 정상적으로 보여질 것이다. 또한 해당 credential 관련 내용은 보통 ~/.aws에 config와 credential 파일로 존재한다. 입력을 해봤으니 알겠지만 Access Key와 Secret Access Key 내용이 평문으로 저장된다. 따라서 해당 파일이 노출되지 않도록 최대한 관리를 잘해야한다.

 

 

 

aws cli를 통한 S3 Listing

aws s3 ls s3://level2-c8b217a33fcf1f839f6f1f73a00a9ae7.flaws.cloud

=> 여기서 부터는 1번 문제와 동일하다. 똑같이 secret이라는 파일을 확인할 수 있었다.

 

 

 

aws s3 cp s3://level2-c8b217a33fcf1f839f6f1f73a00a9ae7.flaws.cloud/secret-e4443fc.html -

=> 내용 역시 다음 Level로 갈 수 있는 URL이 작성되어있었다.

 

 

 

=> 문제에서 정말 예고한대로 살짝만 꼬았다..Everyone -> Any Authenticated AWS User로...크흠.. 심지어 문제 풀이시에 aws cli에 credential이 이미 설정되어있었다면 뭐가 다른지 알아채지도 못했을 것 같다..ㅋㅋ