[SuNiNaTas] forensic-14번

문제

Do you know password of suninatas?

evidence.tar

 

풀이

tar파일은 tape archive의 약자로 여러 개의 파일을 하나로 합치는 역할을 한다. (!=압축)

주어진 파일을 열어보면

 

파일 풀기

tar -xvf 파일명.tar

 

파일 내용 보기

tar -tvf 파일명.tar

 

passwd 파일과, shadow 파일이 들어있다.

각 파일에서 suninatas 계정 정보를 확인할 수 있었는데

참고로 passwd 파일은 사용자의 로그인 계정, 암호화된 비밀번호, UID, 기본 GID, 이름, 홈디렉토리, 로그인 쉘이 저장되어 있는 파일이고

shadow 파일은 사용자 계정에 대한 암호화된 패스워드와 패스워드 설정 기간, 유효성 정보가 들어있는 파일이다.

 

유닉스 기반의 리눅스 시스템은 /etc/passwd에 계정 정보를 저장하고, 패스워드는 암호화하여 /etc/shadow에 보관한다. 단, /etc/shadow 파일은 root만 읽을 수 있도록 설정되어 있다.

https://oo7-0310.tistory.com/6?category=809639 

[Linux]1_3. Lab & /etc/passwd, /etc/shadow

 

shadow 파일에서 suninatas의 암호화된 비밀번호는 다음과 같다.

$6$QlRlqGhj$BZoS9PuMMRHZZXz1Gde99W01u3kD9nP/zYtl8O2dsshdnwsJT/1lZXsLar8asQZpqTAioiey4rKVpsLm/bqrX/

$hash ID$salt$hash value

• hash ID

어떤 스키마로 hash 했는지 보여준다. suninatas의 hash ID는 6이므로 SHA-512 해시 함수로 암호화 된 걸 알 수 있다.

* 0은 DES

*리눅스 암호는 MD5, SHA방식을 주로 쓰고, 윈도우는 LN, NTML, NTMLv2와 같은 MS의 암호화 방식을 사용한다. (관련 Tool: Cain & Abel)

• salt 패스워드를 생성하는 데 들어가는 임의의 값(OS에서 생성)으로 패스워드 변경 명령어를 쓸 때마다 값이 바뀐다.
• hash value hash ID와 salt 값을 통해 암호화된 결과

 

https://yehey-study.tistory.com/entry/Unix-%ED%8C%A8%EC%8A%A4%EC%9B%8C%EB%93%9C-%ED%8A%B8%EB%9E%98%EC%BB%A4

Unix 패스워드 트래커

sha256으로 암호화된 문자는 복호화할 수 없지만 (hash된 암호는 복호화할 수 없다)

 

John the Ripper 라는 프로그램으로 해결할 수 있다. (어떤 원리로 가능한지 모르겠음)

https://www.openwall.com/john/

John the Ripper password cracker

https://www.itworld.co.kr/news/157126

해킹 툴킷을 위한 필수 비밀번호 크래커, '존더리퍼'의 작동 방식

run 폴더의 john.exe 프로그램으로 위의 문자를 복호화해야 하기 때문에

shadow의 내용을 txt파일로 만들어 run 아래에 저장했다. (passwd.txt)

john passwd.txt를 입력했더니 suninatas의 복호화된 비밀번호를 보여주었다.

 

show 옵션을 쓰면 passwd 형식에 맞춰 출력된다.

 

 

정답