flaws.cloud Level3 Write up

Level3の問題です。問題文は次のとおり。

問題

The next level is fairly similar, with a slight twist. Time to find your first AWS key! I bet you'll find something that will let you list what other buckets are.

他のs3バケットを確認できるAWS key（= AWS アクセスキー？）を見つける問題です。

解答

AWS CLIでLevel 3のS3バケットにアクセスしてみると、ファイル一覧を取得できます。.gitが存在しているので、この内容を確認するとコミット時の情報から何かしらヒントが得られるかもしれません。

S3バケットからダウンロードする方法を調べると、AWS CLIでs3 cpコマンドを使えばいいことがわかりました。以下のようにしてバケットをローカルにダウンロードします。

.git/logs/HEAD からコミットログを確認すると "Oops, accidentally added something I shouldn't have" という気になる文字列が記述されていました。

git log で整形して表示します。コメントの内容からは最初に誤った情報を含んだままコミットし、修正後に再度コミットしたと推測できます。そのため、f52ec03b227ea6094b04e43f475fb0126edb5a61 でコミットした内容を復元すると良さそうです。

特定のコミットに切り替えるにはgit checkoutを用いるらしいのでやってみると、access_keys.txtというファイルが生成されていました。

access_keys.txtにはアクセスキーIDとシークレットアクセスキーが記述されていました。入手した情報をaws configureで設定し、割り当てられているS3リソースをs3 lsで確認するとLevel 4~Level 6の問題と思われるバケットを確認できました。Level4~のコンテンツにアクセスすることで、次の問題に進めます。

Level4に続く