[Forensics] abcdefg-who - Dreamhack

Đề bài

---

Phân tích

Ở bài này mình sẽ phải truy vết ở trên một server, điều khá là khó đối với những người đã quen ChatGPT (có mình 😂)

Đầu tiên hãy thử đọc file đề bài cho

$ cat access_method.txt
ssh dream@[server IP] -p [port]

Vậy nó chỉ là hướng dẫn ssh thôi, không có gì mấy, mình sẽ ssh vào server xem có gì không

$ ssh dream@host1.dreamhack.games -p 10412
dream@host1.dreamhack.games's password:
Welcome to Ubuntu 20.04.6 LTS (GNU/Linux 4.19.234 x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/pro

This system has been minimized by removing packages and content that are
not required on a system that users do not log into.

To restore this content, you can run the 'unminimize' command.

Vậy là đã ssh thành công, mình sẽ thử với lệnh ls -al để xem có những thư mục gì

ls -al
total 16
drwx------ 2 root root 4096 May 30  2024 .
dr-xr-xr-x 1 root root 4096 Oct 12 05:18 ..
-rw-r--r-- 1 root root 3106 Dec  5  2019 .bashrc
-rw-r--r-- 1 root root  161 Dec  5  2019 .profile

Có vẻ như không có gì mấy, mình sẽ thử lại ls -al nhưng ở thư mục gốc xem sao

ls -al /../../../../../
total 68
dr-xr-xr-x   1 root root 4096 Oct 12 05:18 .
dr-xr-xr-x   1 root root 4096 Oct 12 05:18 ..
lrwxrwxrwx   1 root root    7 May 30  2024 bin -> usr/bin
drwxr-xr-x   2 root root 4096 Apr 15  2020 boot
drwxr-xr-x   8 root root 2540 Oct 12 05:18 dev
drwxr-xr-x  46 root root 4096 Jun 11  2024 etc
drwxr-xr-x   1 root root 4096 Jun 11  2024 home
lrwxrwxrwx   1 root root    7 May 30  2024 lib -> usr/lib
lrwxrwxrwx   1 root root    9 May 30  2024 lib32 -> usr/lib32
lrwxrwxrwx   1 root root    9 May 30  2024 lib64 -> usr/lib64
lrwxrwxrwx   1 root root   10 May 30  2024 libx32 -> usr/libx32
drwxr-xr-x   2 root root 4096 May 30  2024 media
drwxr-xr-x   2 root root 4096 May 30  2024 mnt
drwxr-xr-x   2 root root 4096 May 30  2024 opt
dr-xr-xr-x 110 root root    0 Oct 12 05:18 proc
drwx------   2 root root 4096 May 30  2024 root
drwxr-xr-x   1 root root 4096 Oct 12 05:26 run
lrwxrwxrwx   1 root root    8 May 30  2024 sbin -> usr/sbin
drwxr-xr-x   2 root root 4096 May 30  2024 srv
dr-xr-xr-x  11 root root    0 Oct 12 05:18 sys
drwxrwxrwt   2 root root 4096 Jun 11  2024 tmp
drwxr-xr-x  13 root root 4096 May 30  2024 usr
drwxr-xr-x   1 root root 4096 May 30  2024 var

Vậy là nó như thư mục gốc bình thường của mọi hệ điều hành Linux khác, không có gì nổi bật

Điều tiếp theo mà một "Pháp y" sẽ làm là tìm đến nạn nhân - cũng giống như ngoài đời thôi, mình cũng là "Pháp y số" mà

ls -al /home/
total 44
drwxr-xr-x 1 root    root    4096 Jun 11  2024 .
dr-xr-xr-x 1 root    root    4096 Oct 12 05:18 ..
drwxr-xr-x 2 alice   alice   4096 Jun 11  2024 alice
drwxr-xr-x 2 bob     bob     4096 Jun 11  2024 bob
drwxr-xr-x 2 charlie charlie 4096 Jun 11  2024 charlie
drwxr-xr-x 1 dream   dream   4096 Oct 12 05:20 dream
drwxr-xr-x 2 eavan   eavan   4096 Jun 11  2024 eavan
drwxr-xr-x 1 frank   frank   4096 Jun 11  2024 frank
drwxr-xr-x 2 george  george  4096 Jun 11  2024 george

Có rất nhiều user ở đây, mình sẽ thử tìm kiếm trong từng user một vậy

ls -al /home/alice
total 24
drwxr-xr-x 2 alice alice 4096 Jun 11  2024 .
drwxr-xr-x 1 root  root  4096 Jun 11  2024 ..
-rw-r--r-- 1 alice alice  220 Feb 25  2020 .bash_logout
-rw-r--r-- 1 alice alice 3771 Feb 25  2020 .bashrc
-rw-r--r-- 1 alice alice  807 Feb 25  2020 .profile
ls -al /home/bob
total 24
drwxr-xr-x 2 bob  bob  4096 Jun 11  2024 .
drwxr-xr-x 1 root root 4096 Jun 11  2024 ..
-rw-r--r-- 1 bob  bob   220 Feb 25  2020 .bash_logout
-rw-r--r-- 1 bob  bob  3771 Feb 25  2020 .bashrc
-rw-r--r-- 1 bob  bob   807 Feb 25  2020 .profile
ls -al /home/charlie
total 24
drwxr-xr-x 2 charlie charlie 4096 Jun 11  2024 .
drwxr-xr-x 1 root    root    4096 Jun 11  2024 ..
-rw-r--r-- 1 charlie charlie  220 Feb 25  2020 .bash_logout
-rw-r--r-- 1 charlie charlie 3771 Feb 25  2020 .bashrc
-rw-r--r-- 1 charlie charlie  807 Feb 25  2020 .profile
ls -al /home/dream
total 28
drwxr-xr-x 1 dream dream 4096 Oct 12 05:20 .
drwxr-xr-x 1 root  root  4096 Jun 11  2024 ..
-rw-r--r-- 1 dream dream  220 Feb 25  2020 .bash_logout
-rw-r--r-- 1 dream dream 3771 Feb 25  2020 .bashrc
drwx------ 2 dream dream 4096 Oct 12 05:20 .cache
-rw-r--r-- 1 dream dream  807 Feb 25  2020 .profile
ls -al /home/eavan
total 24
drwxr-xr-x 2 eavan eavan 4096 Jun 11  2024 .
drwxr-xr-x 1 root  root  4096 Jun 11  2024 ..
-rw-r--r-- 1 eavan eavan  220 Feb 25  2020 .bash_logout
-rw-r--r-- 1 eavan eavan 3771 Feb 25  2020 .bashrc
-rw-r--r-- 1 eavan eavan  807 Feb 25  2020 .profile
ls -al /home/frank
total 204
drwxr-xr-x 1 frank frank   4096 Jun 11  2024 .
drwxr-xr-x 1 root  root    4096 Jun 11  2024 ..
-rwxrwxrwx 1 root  root      60 Jun 11  2024 .bash.sh
-rw-r--r-- 1 frank frank    220 Feb 25  2020 .bash_logout
-rw-r--r-- 1 frank frank   3771 Feb 25  2020 .bashrc
-rw-r--r-- 1 frank frank    807 Feb 25  2020 .profile
--w--w--w- 1 root  root  172864 Oct 12 05:37 .secret_log
ls -al /home/george
total 24
drwxr-xr-x 2 george george 4096 Jun 11  2024 .
drwxr-xr-x 1 root   root   4096 Jun 11  2024 ..
-rw-r--r-- 1 george george  220 Feb 25  2020 .bash_logout
-rw-r--r-- 1 george george 3771 Feb 25  2020 .bashrc
-rw-r--r-- 1 george george  807 Feb 25  2020 .profile

Ông bạn frank có vẻ khá đáng nghi khi có một file .secret_log, đọc và tìm thử xem có chuỗi nào giống flag không thôi

grep -aohm1 -E 'DH\{[^}]+\}' /home/frank/.secret_log
DH{MY_n3w_keYl0g9er_g0OD}

---

Flag

Flag: DH{MY_n3w_keYl0g9er_g0OD}