패킷 안에 도메인 정보들이 많은 경우엔
와이어샤크에서 Statistics > Resolved Addresses 도구를 이용해
패킷 안에 도메인이 몇 개가 들어 있는 지 분석해야 한다.
그러나 지금 분석하는 패킷은 도메인 정보가 그렇게 많지는 않다.
패킷들이 어디서 많이 발생했는 지 확인하기 위해서
Statistics > Protocol Hierarchy를 본다.
TCP와 TCP 중에서도 HTTP의 비중이 높은 것을 확인할 수 있다.이는 웹서비스를 통해서 공격 행위가 일어났다는 것을 의미한다.MIM Multipart Media Encapsulation은 별로 없기 때문에 공격자가 크지 않은 데이터를 첨부 파일로 사용했다고 예측할 수 있다.Line-base text data는 공격자가 요청해서 출력이 브라우저에 나올 때 사용되는 것이다.
이를 통해서 웹쉘이 올라갔을 확률이 높다고 추측할 수 있다.
* 웹쉘: 웹서버를 장악하기 위해 업로드 취약점을 파고들어 관리자 권한을 획득함으로써 원격으로 시스템에 명령을 내릴 수 있는 악성코드
Statistics > Conversations에서 통신 과정 중 포트 정보를 볼 수 있다.
만약 공격을 했다면 192.168.296.152가 공격자이고 192.168.206.154가 공격 당한 서버일 것이다.
Statistics > HTTP > Requests 도구를 이용해서 서버 쪽에서 요청한 정보들을 확인할 수 있다.
Burst start를 클릭해서 순서대로 정렬했다.
공격자가 접근한 로그인 정보는 /bWAPP/login.php 패킷에서 찾을 수 있을 것이다.이 다음으로는 /bWAPP/unrestricted_file_upload.php가 실제로 있는 페이지인지 확인해야 한다.만약 위 페이지가 없는 페이지라면 새롭게 생성된 페이지일 것이므로
php-backddor.php가 웹쉘일 가능성이 높다.
login.php 패킷 우클릭 > Follow > TCP Stream를 하면 세션이 유지되는 동안 공격자가 접근한 페이지를 확인할 수 있다.
로그인 페이지가 POST로 보낸 부분을 확인했다.
login=bee&password=bug라고 명시돼 있다.
이게 바로 공격자가 서비스에 접속하기 위해 사용한 계정 정보이다.
공격자가 실제로 어떤 페이지까지 접근했는 지 확인하기 위해서 Save as를 클릭해
html 확장자로 파일을 저장한다.
저장한 파일을 웹브라우저에서 확인해봤다.
모든 형식이 html은 아닐 것이기 때문에 몇 개의 데이터는 깨질 수도 있다.
파일을 업로드하는 기능을 확인할 수 있었다.
이걸 통해서 php-backddor.php를 올렸을 가능성이 높다.
메뉴에서 File > Export Objects > HTTP를 클릭한 다음
php-backddor.php를 클릭해서 이 패킷이 있는 위치로 이동했다.
패킷 우클릭 > Follow > TCP Stream 후 Save as를 클릭해 html 확장자로 저장했다.
이 저장한 파일은 앞선 패킷에서 파일을 업로드하는 기능을 이용해 올린 페이지이다.
해당 파일은 웹쉘이다.
웹쉘은 php 파일인데 html로 바꿔서 해석이 안 되고 깨져서 보인다.
그러나 이를 통해서 공격자가 시스템에 침투한 후에 사용한 명령어들을 확인할 수 있다.
공격자가 획득한 개인 정보를 알기 위해서
해당 패킷 우클릭 > Follow > TCP Stream 후 Save as를 클릭해 html 확장자로 저장했다.
스크롤 한 부분이 현재 공격자가 획득한 데이터베이스이다.
공격자가 웹쉘을 업로드해서 DB에 있는 정보들을 탈취한 것이다.
해당 DB엔 해시값으로 저장된 패스워드 정보, 이메일 정보 등이 포함돼 있다.
두 개의 개인정보가 공격자에게 유출이 됐다.
공격자가 사용한 파일인 php-backdoor.php를 pcap 확장자로 저장해서
네트워크마이너에서 확인했다.
php-backdoor.php 우클릭 > open folder를 누르면
저장된 폴더를 확인할 수 있다.
파일을 열어보면 php-backdoor.php는 웹쉘인 것을 알 수 있다.
line 5~9에서 공격자가 올린 것이 패킷 정보에 그대로 떴기 때문에
php 파일도 원본으로 남아 있는 것을 확인할 수 있다.
출처
인프런 | IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전
https://www.inflearn.com/course/wireshark_boanproject#reviews
'Network > 네트워크 패킷 분석' 카테고리의 다른 글
[네트워크 패킷 분석] 웹 취약점 진단 도구 NIkto 패킷 분석 사례 (0) | 2023.04.28 |
---|---|
[네트워크 패킷 분석] 웹 취약점 진단 도구 arachni 패킷 분석 사례 (0) | 2023.04.27 |
[네트워크 패킷 분석] 침해사고 샘플 분석 사례 문제 및 풀이 2 (0) | 2023.04.14 |
[네트워크 패킷 분석] 와이어샤크와 네트워크마이너를 활용한 패킷 분석 (0) | 2023.04.07 |
[네트워크 패킷 분석] 네트워크 패킷 분석 샘플 사이트 정리 (1) | 2023.04.07 |