SuNiNaTaS_14 [FORENSIC]

suninatas의 비밀번호가 인증키라는 것 같습니다.

다운로드해서 확인해보면 passwd, shadow파일 두개가 있습니다.

둘다 유닉스에서 쓰는 /etc/passwd, /etc/shadow라는 것을 짐작 할 수 있습니다.

처음에 열었을때 개행이 안되어 있어서 구분하기 위해 개행을 다 해봤습니다.

여러 계정의 정보가 있지만 중요한건 suninatas의 비밀번호이므로 shadow파일에 집중합니다.

[/etc/shadow 파일구조] 

① Login Name

② Encrypted: 패스워드 암호화 값

③ Last Changed: 1970.01.01부터 패스워드가 수정된 날짜 일수

④ Minimum: 패스워드 최소 사용 기간

⑤ Maximum: 패스워드 최대 사용 기간

⑥ Warn: 패스워드 사용 만기일 전 경고 메시지 제공 일수

⑦ Inactive: 로그인 접속차단 일수

⑧ Expire: 로그인 사용 금지 일수(월/일/연도)

⑨ Reserved: 사용x

Encrypted의 값이 암호화된 비밀번호이므로 패스워드 크랙을 해야한다.

$6$QlRlqGhj$BZoS9PuMMRHZZXz1Gde99W01u3kD9nP/   zYtl8O2dsshdnwsJT/1lZXsLar8asQZpqTAioiey4rKVpsLm/bqrX/

위의 suninatas의 암호화된 패스워드는 $를 기준으로 나눠진다. (한줄에 안나와서 개행)

첫번째 $는 암호화 방식을 나타냅니다. $6이므로 SHA-512로 해쉬 암호화 했고,

두번째 $는 salt 값입니다. 해쉬 암호화 할때 비밀번호와 함께 붙여서 암호화를 합니다.

세번째 $는 hash_value로 암호화 방식과 salt값에 따른 결과입니다.

그렇다면 어떻게 비밀번호를 크랙하는가?

John the ripper라는 툴을 이용해서 하면됩니다.

많이 알려진 툴인데 windows와 unix에서 모두 가능하고 저는 windows에서 사용했습니다.

(처음에 다운받고 실행했는데 error가 나서 고전... 컴퓨터 재부팅하니깐 되네요)

root의 비밀번호는 toor

suninatas의 비밀번호는 iloveu1라고 나오게 됩니다.

[참고/출처]

https://idchowto.com/?p=10251

http://blog.plura.io/?p=3284

http://blog.naver.com/PostView.nhn?blogId=koromoon&logNo=220611830118