Blue Team CTF를 풀 수 있는 좋은 워게임 사이트인 CyberDefenders에서 Insider 라는 제목을 가진 CTF 문제를 풀어보려고 한다. 이유는 해당 CTF 문제는 리눅스 상에 남아있는 아티팩트들을 분석해서 푸는 것이기 때문에 많이 공부하지 않았던 나에게 있어 도움이 조금이라도 되어 분석을 진행하였다.
| FileName | c46-FirstHack.zip |
|---|---|
| File Size | 86,562,022 Byte |
| CRC32 | 7F3FC195 |
| MD5 | 47BAC2EB907673BB605E388D2293FB79 |
| SHA-1 | D820264D825FDAEB2146BF7B4C4E03684E700007 |
분석 파일에서 사용되고 있는 리눅스 배포판을 찾는 문제이다.
리눅스에는 다양한 OS가 있다. CentOS, Kali, Ubuntu, SUSE 등 다양한 버전의 리눅스 배포판이 존재하는데 문제 파일을 FTK Imager로 열어서 한번 살펴보도록 하겠다.
path : root/boot/
위 경로를 가보면 리눅스의 profile(프로필)들이 존재한다. 리눅스의 profile이 무엇인지 가볍게 설명하도록 하겠다.
리눅스는 운영체제 버전마다 커널 버전이 따로 존재한다.
간단하게, 리눅스에서 프로필은 로그인을 하는데 사용하는 환경 설정 파일이다.
vmlinuz-4.13.0-kali1-amd64 파일이 바로 해당 운영체제의 커널 이미지이라고 생각하면 된다. 이 부분에 대해서는 다음에 리눅스 메모리 포렌식을 설명할 때 깊게 다루도록 하겠다.