[Dreamhack] palm write-up

ssh 서버에 접속을 해준다.

hostname -I 명령어를 사용해 IP를 확인해준다. 

로그인할 때 마다 네트워크 데이터에 민감한 정보가 유출된다고 하니까 tcpdump 명령어를 사용한다.

tcpdump src IP
그럼 막 이렇게 수많은 패킷 정보가 나오는데

보면 다 한 IP주소로 보내고 있다. 저 IP 주소를 제외하고 검색해볼 수  있다.

tcp dump src <srcIP> and not dst <dstIP>

다른 터미널에서 ssh 서버에 로그인을 해주면 다른 IP 주소와 UDP 통신을 한 게 나온다.

grep 명령어를 통해 기록을 lib 디렉토리에서 해당 IP와의 통신을 찾아본다.

-> lib 디렉토리는 시스템 라이브러리가 위치한 디렉토리이다. 공격자는 보통 라이브러리를 조작하여 시스템 동작을 변경한다.

security/pam_unix.so

-> 검색해보니 유닉스 표준 패스워드 모듈이라고 한다. 패스워드를 전송한 것 같다.

* pam 파일

-> PAM은 시스템 리소스에 대한 사용자 인증 및 권한 부여를 처리하는 유닉스 계열 운영 체제의 인증 메커니즘을 모듈화하는 라이브러리이다. pam_unix.so 모듈은 사용자의 비밀번호 검사 및 인증 작업을 담당한다.

다운받아서 분석해보려고 이것저것 시도해보다가 계속 패스워드 오류나 권한 없다는 오류가 떠서 그냥 vim 편집기에서 들어가서 봤다. 중간에 Base64 문자열이 보인다. Decode해주면

정답을 찾을 수 있다.

답 : DH{something_hidden_invide_my_palm}