워게임 포렌식 #09 (Digital Forensics - Grub and it starts up :))
문제 출처 https://www.root-me.org/en/Challenges/Forensic/Oh-My-Grub

1. CASE 제시

귀사는 old 서버에 접속 방법을 분실했습니다. 불행이도 해당 서버는 중요한 파일을 가지고 있어요. 그들을 찾아주세요.

힌트 : ch33 파일, GRUB관련 문서
문제 파일 : root.ova 파일

2. CASE 접근

root.ova 파일을 가상머신으로 실행 시도 했으나, ISO 이미지 손상으로 Import 되지 않는다.

무시하고 retry 를 눌렀다.

"IDE 1:0 장치가 없기 때문에 해당 장치가 없기 때문에 가상 장치로 연결할 수 없으며, 그 장치는 호스트(진짜 PC)에서 사용하는 중인지도 모르겠습니다. (그래도) 이 가상머신을 실행하시겠습니까? "

무시하고 Yes를 누른다.

아래와 같은 GRUB 부트 메뉴가 나타난다.

Debain GNU/Linux를 선택하면 부팅이 진행되고 아래 로그인 화면이 나온다.

그러나 패스워드를 알 수 없다.
문제에서 접근 방법을 분실이 이 부분인것 같다.

관련 힌트로 GRUB관련 문서를 주었다.

GRUB

Grand Unified BootLoader의 약자로, GNU 프로젝트에서 만든 부트로더이다.
부트로더란 부트 매니저 프로그램을 부르는 이명이며, 부팅을 도와주는 역할 프로그램이다.

부트로더 관련 파일과 로그인 계정을 모르기 때문에 로그인 할 수 없음
따라서, 패스워드 없이 부팅하면 된다.

3. CASE 해결

리눅스마스터 자격증 책에서 부팅 패스워드 초기화 방법을 안내하고 있다. (2023년 책 CentOS 7 기준)

주어진 이미지 파일은 Debain OS이므로 관련 내용을 구글링했다.
가상 머신을 재부팅해 GRUB 부트 메뉴에서 안전 모드로 진입한다.

다음 부트 메뉴에서 recovery mode를 선택하고 키보드에서 e 키를 눌러 커널 인자값을 수정하는 파일로 진입한다.

GRUB 부트로더가 사용하는 부트 메뉴 항목 중 하나로, grub.cfg 파일이다. 이 파일의 항목을 수정하고 재부팅 하면, 패스워드 입력 없이 로그인 할 수 있다.

기존의 ro single 을 rw init=/bin/bash 로 변경 후, Ctrl + X 눌러 재부팅해준다.

그럼 로그인 과정 없이 OS root계정으로 로그인 된다.

중요 파일을 찾기 위해 루트 디렉터리를 탐색한다.
루트 디렉터리 목록 중, root 라는 이름의 디렉터리가 존재한다.
사용자 계정 생성으로 인한 별도의 디렉터리는 /home/ 위치한다.
그러나 root 디렉터리의 root라는 디렉터리는 별도로 생성한 디렉터리임을 예상할 수 있다.

root 디렉터리를 확인하면, 여러 파일들을 확인 가능하다.

이중, .passwd 파일을 확인하면 flag 값을 확인 가능하다.

확인한 플래그의 I 문자를 확인해 여러번 시도해본다.

플래그를 입력해 문제 해결한다.

4. 피드백

네트워크 장비 보안 설정, 네트워크 설정 확인을 위해 군복무 중 많은 시간을 네트워크 장비 패스워드 초기화를 위해 쓴 기억이 났다.
한드림넷, 다산 2000년대 장비를 외주업체 담당자분에게 미안할정도로 많이 물어봤었다.
비밀번호를 기록하는 문서가 무용지물이라 패스워드를 초기화 시켜야 했다.
유일한 방법 중 네트워크 장비를 재부팅 단계가 들어있어서 큰 곤욕이었다.
리눅스마스터 자격증 공부를 할때도 관련 문제가 나왔었다.

워게임 포렌식 문제들은 넌센스 느낌이 강한것 같다.
공식을 대입해 결과값을 얻는 함수가 아니라,
아/점/저 4/2/3 다리로 걷는 생물은? 와 같이 기술적 부분과 추리를 해야하는 부분이 존재한다.

문제 : 저는 군생활을 언제쯤 했을까요?
힌트 : 4.피드백 참고.