본문 바로가기
Network/네트워크 패킷 분석

[네트워크 패킷 분석] 침해사고 샘플 분석 사례 문제 및 풀이 1

by 8희 2023. 4. 14.

 

패킷 안에 도메인 정보들이 많은 경우엔

와이어샤크에서 Statistics > Resolved Addresses 도구를 이용해

패킷 안에 도메인이 몇 개가 들어 있는 지 분석해야 한다.

그러나 지금 분석하는 패킷은 도메인 정보가 그렇게 많지는 않다.

 

 

패킷들이 어디서 많이 발생했는 지 확인하기 위해서

Statistics > Protocol Hierarchy를 본다.

 

 

 

TCP와 TCP 중에서도 HTTP의 비중이 높은 것을 확인할 수 있다.이는 웹서비스를 통해서 공격 행위가 일어났다는 것을 의미한다.MIM Multipart Media Encapsulation은 별로 없기 때문에 공격자가 크지 않은 데이터를 첨부 파일로 사용했다고 예측할 수 있다.Line-base text data는 공격자가 요청해서 출력이 브라우저에 나올 때 사용되는 것이다.

 

이를 통해서 웹쉘이 올라갔을 확률이 높다고 추측할 수 있다.

 

* 웹쉘: 웹서버를 장악하기 위해 업로드 취약점을 파고들어 관리자 권한을 획득함으로써 원격으로 시스템에 명령을 내릴 수 있는 악성코드

 

 

Statistics > Conversations에서 통신 과정 중 포트 정보를 볼 수 있다.

 

 

만약 공격을 했다면 192.168.296.152가 공격자이고 192.168.206.154가 공격 당한 서버일 것이다.

 

 

Statistics > HTTP > Requests 도구를 이용해서 서버 쪽에서 요청한 정보들을 확인할 수 있다.

Burst start를 클릭해서 순서대로 정렬했다.

 

공격자가 접근한 로그인 정보는 /bWAPP/login.php 패킷에서 찾을 수 있을 것이다.이 다음으로는 /bWAPP/unrestricted_file_upload.php가 실제로 있는 페이지인지 확인해야 한다.만약 위 페이지가 없는 페이지라면 새롭게 생성된 페이지일 것이므로

php-backddor.php가 웹쉘일 가능성이 높다.

 

 

login.php 패킷 우클릭 > Follow > TCP Stream를 하면 세션이 유지되는 동안 공격자가 접근한 페이지를 확인할 수 있다.

 

 

로그인 페이지가 POST로 보낸 부분을 확인했다.

login=bee&password=bug라고 명시돼 있다.

이게 바로 공격자가 서비스에 접속하기 위해 사용한 계정 정보이다.

 

 

공격자가 실제로 어떤 페이지까지 접근했는 지 확인하기 위해서 Save as를 클릭해 

html 확장자로 파일을 저장한다.

 

 

저장한 파일을 웹브라우저에서 확인해봤다.

모든 형식이 html은 아닐 것이기 때문에 몇 개의 데이터는 깨질 수도 있다.

 

 

파일을 업로드하는 기능을 확인할 수 있었다.

이걸 통해서 php-backddor.php를 올렸을 가능성이 높다.

 

 

메뉴에서 File > Export Objects > HTTP를 클릭한 다음

php-backddor.php를 클릭해서 이 패킷이 있는 위치로 이동했다.

 

 

패킷 우클릭 > Follow > TCP Stream 후  Save as를 클릭해 html 확장자로 저장했다.

이 저장한 파일은 앞선 패킷에서 파일을 업로드하는 기능을 이용해 올린 페이지이다.

 

 

해당 파일은 웹쉘이다.

웹쉘은 php 파일인데 html로 바꿔서 해석이 안 되고 깨져서 보인다.

 

 

그러나 이를 통해서 공격자가 시스템에 침투한 후에 사용한 명령어들을 확인할 수 있다.

 

 

공격자가 획득한 개인 정보를 알기 위해서 

해당 패킷 우클릭 > Follow > TCP Stream 후 Save as를 클릭해 html 확장자로 저장했다.

 

 

스크롤 한 부분이 현재 공격자가 획득한 데이터베이스이다. 

공격자가 웹쉘을 업로드해서 DB에 있는 정보들을 탈취한 것이다. 

 

 

해당 DB엔 해시값으로 저장된 패스워드 정보, 이메일 정보 등이 포함돼 있다.

두 개의 개인정보가 공격자에게 유출이 됐다. 

 

 

공격자가 사용한 파일인 php-backdoor.phppcap 확장자로 저장해서

네트워크마이너에서 확인했다.

 

 

php-backdoor.php 우클릭 > open folder를 누르면

저장된 폴더를 확인할 수 있다. 

 

 

파일을 열어보면 php-backdoor.php는 웹쉘인 것을 알 수 있다.

line 5~9에서 공격자가 올린 것이 패킷 정보에 그대로 떴기 때문에

php 파일도 원본으로 남아 있는 것을 확인할 수 있다. 

 

출처

인프런 | IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전

https://www.inflearn.com/course/wireshark_boanproject#reviews

 

[무료] IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전 - 인프런 | 강의

침해사고 분석과 취약점 분석을 할 때 네트워크 패킷 분석은 필수다. 그 중에서 와이어샤크를 제일 많이 활용하고 있으며, 이 강의에서는 와이어샤크 완벽한 활용법과 침해사고 분석 사례를 다

www.inflearn.com

 

'Network > 네트워크 패킷 분석' 카테고리의 다른 글

[네트워크 패킷 분석] 웹 취약점 진단 도구 NIkto 패킷 분석 사례  (0) 2023.04.28
[네트워크 패킷 분석] 웹 취약점 진단 도구 arachni 패킷 분석 사례  (0) 2023.04.27
[네트워크 패킷 분석] 침해사고 샘플 분석 사례 문제 및 풀이 2  (0) 2023.04.14
[네트워크 패킷 분석] 와이어샤크와 네트워크마이너를 활용한 패킷 분석  (0) 2023.04.07
[네트워크 패킷 분석] 네트워크 패킷 분석 샘플 사이트 정리  (1) 2023.04.07

관련글

티스토리툴바