[SuNiNaTaS] Forensic 14

문제 파일 : evidence.tar

사용한 Tool : john180j1w(John the Ripper)

문제 : "Do you know password of suninatas?"

문제파일을 압축해제 하면 두개의 파일이 보이는데 passwd과 shadow 파일이다. 

<passwd 파일>

ex) root : x : 0 : 0 : root : /root : /bin/bash

root - 사용자 계정

x - 사용자 비밀번호 (x로 되어있는 이유는 shadow 패스워드 시스템에 의해서 shadow 파일에 저장된다.)

※ shadow 패스워드 시스템 - passwd 내용은 수정은 못하지만 아무나 볼수있다. 그래서 shadow 패스워드를 사용하게 되면 /etc/passwd에 있는 패스워드 부분을 /etc/shadow에 두고서 root만 읽을 수 있는 퍼미션으로 설정하게됨.

0 - 사용자 UID (root의 경우 0)

0 - 사용자 소속 그룹 GID (root의 경우 0)

root - 사용자 정보

/root - 사용자 계정 디렉토리(홈 디렉토리)

/bin/bash - 사용자 로그인 쉘

<shadow 파일>

ex) root : $6$E2loH~fW. : 15426 : 0 : 99999:7 : : :

root - 사용자 계정

$6$E2loH~fW. - 패스워드 암호화 된 값 (패스워드 설정이 안되어있으면 값이 비어있음. * 라고 되어있으면 계정 블락)

$6 : SHA512($1 : MD5, $2 : blowfish, $5 : SHA256)

$E2loH6yC : salt 값

$0lcZ0hG/b.Yqls~93ECVfW. : salt값 + 사용자 입력 패스워드

15426 : 마지막으로 패스워드 변경한 날

0 : 최소 변경 일수

99999 : 최대 변경 일수

7 : 경고일수 

(지정 안된 값) : 최대 비활성 일수

(지정 안된 값) : 사용자 계정이 만료되는 날

(지정 안된 값) : 사용 안함

이 두개 파일을 이용해서 문제를 풀어야한다. 

처음 John the Ripper파일이 있는 폴더 안에 unshadow.exe 실행 파일을 사용한다.

> unshadow.exe [passwd파일 경로] [shadow파일 경로]

<CMD unshadow.exe 실행 화면>

<unshadow.txt 파일>

unshadow.txt 파일을 이용해서 password를 크랙하면 된다.

> john.exe [PASSWORD-FILES파일 경로]

<CMD John.exe 실행 화면>

Answer : iloveu1