Network/네트워크 패킷 분석11 [네트워크 패킷 분석] 메타스플로잇 프로를 이용한 공격 네트워크 패킷 분석 사례 프로토콜 요약 정보들을 보면 메타스플로잇 2가 굉장히 많은 취약점을 가지고 있기 때문에 열려 있는 프로토콜이 굉장히 많이 존재한다. Remote Procedure Call 프로토콜이 열려 있으면, 공격자가 접근 권한이 있는 경우에 서비스의 정보들을 주기 때문에 공격자는 프로세스 안에 있는 정보들을 확인할 수 있다. 메타스플로잇 프로 버전에서 SMB 취약점이 있다고 생각하면 무조건 Microsoft Windows Browser Protocol에 접근하는 코드를 넣는다. TCP 프로토콜을 보면 Telnet, SSH 프로토콜 등이 있다. HTTP 관련 프로토콜들은 많지는 않다. 따라서 메타스플로잇 프로 버전에서 pentest(패킷 수집 시에 진행한 것)에는 웹 스캔이 포함되지 않는다는 것을 알 수 있다. pe.. 2023. 5. 31. [네트워크 패킷 분석] 메타스플로잇 이용한 FTP 익명연결 공격과 와이어샤크 패킷 분석 메타스플로잇에서 해당 명령어를 입력하면 ftp와 관련된 모듈들을 사용할 수 있다. anonymous로 익명 연결을 하고 show options를 입력하여 설정한 정보를 확인한다. 이제 FTP 익명 연결 공격 패킷을 살펴볼 것이다. 프로토콜 계층을 보면 FTP는 실질적으로 많은 비율로 찍히고 있지 않다. 그렇지만 FTP가 있으므로 의심은 해 봐야 한다. Conversations를 보면 Port 정보를 통해 21번 포트로 접근하고 있음을 확인할 수 있다. Address를 보면 열려 있는 것은 2개인데 접근된 페이지는 굉장히 많아서 실제 공격이 성공 여부를 판단하기 힘들다. 그러나 패킷 바이트가 많은 4~6번째가 의심 된다고 판단할 수 있다. 공격 성공 여부를 판단하기 위해서 ftp로 필터링한다. 패킷이 순서.. 2023. 5. 27. [네트워크 패킷 분석] mysql 데이터베이스 취약점 진단과 네트워크 패킷 분석 Kali에서 메타스플로잇으로 접속해 mysql을 보면 mysql과 관련된 모듈들과 부가적인 모듈들을 확인할 수 있다. 모듈 중 scanner를 사용하면 조사할 수 있는 정보들을 볼 수 있다. 명령어 뒤에 version을 입력하면 버전 정보를 확인할 수 있다. RHOSTS를 세팅함으로써 타켓을 정해준다. setg는 글로벌적으로 set을 하겠다는 의미이다. run으로 실행해 보면 버전 정보가 노출되는 것을 확인할 수 있다. 취약점이다. 이제 패킷 분석을 진행할 것이다. 프로토콜 정보를 확인해 보면 MySQL 프로토콜이 포함된다. 이것은 MySQL 데이터베이스를 대상으로 한 패킷이란 것 추측할 수 있다. Conversations를 보면 MySQL 기본 포트인 3306에 전송하는 것을 볼 수 있다. 1060, .. 2023. 5. 21. [네트워크 패킷 분석] 파일업로드 취약점 Weevely 난독화 웹쉘과 패킷 분석 사례 weevely - Kali에 기본적으로 설치돼 있다. - PHP 환경에서 파일 업로드 취약점을 확인할 수 있으면, 이것을 통해서 웹쉘을 생성 bWAPP에서 파일 업로드 취약점을 살펴 볼 것이다. 해당 항목 선택 후 들어간 페이지는 어떤 파일도 필터링을 하지 않는다. Kali에서 shell.php라는 웹쉘 파일을 생성한다. cat 명령어로 shell.php 파일을 읽어 보면 난독화 되어 있다. PHP 인코딩 방식과 불필요한 패턴을 사용한다. 난독화를 하게 되면 침입탐지시스템에 대해서 어느 정도 우회가 가능하다. bWAPP에서 shell.php 파일을 업로드 한다. 업로드 후 here를 클릭하면 아래쪽에 바로 웹쉘의 절대 경로가 뜬다. 그러나 실행하면 바로 실행되진 않는다. Kali에서 세션이 맺어지 것을 .. 2023. 5. 14. [네트워크 패킷 분석] 웹 취약점 진단 WPScan 패킷 분석 사례 가장 먼저 어떤 프로토콜이 사용되었는지 확인한다. 웹사이트들을 점검하기 때문에 HTTP 프로토콜이 거의 대부분을 차지한다. 특히 Line-based text data가 많은 비율을 차지하는데, 이는 웹사이트 브라우저의 남은 text data를 의미한다. Statistics > Conversations에서 통신 정보를 확인해 보면 별로 없다. 80번 포트를 열어서 192.168.130.166에서 계속 데이터를 보내는 것을 알 수 있다. 192.168.130.167은 서버이고, 192.168.130.166은 공격자로 추정된다. 이외로 IP를 살펴보면 일부 대상들이 추가로 접근되는 것을 알 수 있다. Stastistics > HTTP > Packet Counter와 Stastistics > HTTP > Req.. 2023. 5. 6. [네트워크 패킷 분석] 웹 취약점 진단 도구 NIkto 패킷 분석 사례 NIkto - 웹 취약점 도구 - 많은 옵션 제공 X - 콘솔 기반 - 내부적으로 다양한 플러그인 존재 대상 서버(호스트 주소)를 http 형식으로 입력해서 NIkto를 사용할 수 있다. 이후 와이어샤크를 실행해서 어댑터를 eth0으로 설정하여 패킷을 확인하고, 패킷을 저장한다. 디렉토리 인덱스 취약점이 있다. * NIkto의 장점은 이런 취약점을 아주 빠르게 볼 수 있다는 것이다. php와 관련된 것들을 설치하고 난 뒤에 관련된 아이콘, 설치된 기본 페이지를 가지고 어떤 버전들이 사용되었는지 알기 위한 패턴들이 있다. 와이어샤크에서 패킷들을 불러왔다. 초록색은 암호화 되지 않는 http로 통신한 것을 의미한다. Statistis > Protocol Hierarchy에서 현재 어떤 패킷들이 있는 지 확인.. 2023. 4. 28. [네트워크 패킷 분석] 웹 취약점 진단 도구 arachni 패킷 분석 사례 bee-box를 실행해주고, arachni에서 타겟을 bee-box로 설정한다. 와이어샤크의 Capture Interfaces에서 'VMware Network Adapter VMnet8'로 설정해서 start를 누른다. * Wi-Fi로 설정 시 외부 패킷까지 탐지됨 5분 정도 스캔한 후에 멈춘다. arachni에서 취약점을 확인해보면, 디렉토리에서 취약점이 제일 많이 발생했다. passwords 디렉토리로 들어갔다. 인증되지 않은 상태에서 디렉토리에 접근이 이뤄진 것을 볼 수 있다. 웹서비스를 하면서 남아 있는 백업 파일들도 확인할 수 있다. CVS로 들어가면 phpinfo 파일을 확인할 수 있다. 해당 파일이 남아 있어서 버전 정보, 웹서비스의 절대경로들이 노출될 수 있다. 여기까지는 디폴트로 돌아가는.. 2023. 4. 27. [네트워크 패킷 분석] 침해사고 샘플 분석 사례 문제 및 풀이 2 와이어샤크에서 Statistics > Protocol Hierarchy를 클릭해 프로토콜 통계를 확인했다. TCP와 TCP 중 HTTP를 많이 사용한 것을 확인할 수 있다.Media Type의 크기가 상당히 크므로 이걸 중점적으로 봐야 한다.공격자들이 웹쉘 등을 써서 정보들을 가져올 때 Line-based text data로 분류가 된다. 웹쉘이 있기 때문에 Statistics > HTTP > Packet Counter를 봤다.Bruce force 공격 등을 사용하면 5xx나 4xx 쪽으로 많이 찍히는데 없으므로정상적인 페이지로 접근하여 시스템을 공격했음을 알 수 있다. Statistics > HTTP > Requests 정보에서 접근한 도메인 정보를 확인할 수 있다. 두 개의 포트가 열려 있다. 192.. 2023. 4. 14. [네트워크 패킷 분석] 침해사고 샘플 분석 사례 문제 및 풀이 1 패킷 안에 도메인 정보들이 많은 경우엔 와이어샤크에서 Statistics > Resolved Addresses 도구를 이용해 패킷 안에 도메인이 몇 개가 들어 있는 지 분석해야 한다. 그러나 지금 분석하는 패킷은 도메인 정보가 그렇게 많지는 않다. 패킷들이 어디서 많이 발생했는 지 확인하기 위해서 Statistics > Protocol Hierarchy를 본다. TCP와 TCP 중에서도 HTTP의 비중이 높은 것을 확인할 수 있다.이는 웹서비스를 통해서 공격 행위가 일어났다는 것을 의미한다.MIM Multipart Media Encapsulation은 별로 없기 때문에 공격자가 크지 않은 데이터를 첨부 파일로 사용했다고 예측할 수 있다.Line-base text data는 공격자가 요청해서 출력이 브라우.. 2023. 4. 14. [네트워크 패킷 분석] 와이어샤크와 네트워크마이너를 활용한 패킷 분석 파일 업로드 취약점이 발생했던 패킷 파일(예시)을 와이어샤크에서 연다. 메뉴에서 Statistics -> Protocol Hierarchy를 클릭하면 패킷 안에서 얼마나 많은 프로토콜을 사용하고 있는지 프로토콜 통계를 확인할 수 있다. TCP와 HTTP를 많이 사용하는 것을 볼 수 있다. HTTP 중 Line-based text data를 많이 사용한다는 것은 HTTP를 통해서 데이터를 요청하는 작업을 많이 하는 것이다. HTTP를 많이 사용하고 있기 때문에 http를 통해서 필터링을 해서 데이터를 확인한다. 패킷이 많은 경우엔 Statistics -> HTTP -> Packet Counter를 통해 상태 코드 별로 어떤 패킷들이 많이 작동하는 지 통계를 볼 수 있다. 캡처에는 없지만 POST보다 GET.. 2023. 4. 7. [네트워크 패킷 분석] 네트워크 패킷 분석 샘플 사이트 정리 1.SampleCaptures https://wiki.wireshark.org/SampleCaptures - Wireshark에서 지원되느 프로토콜 패킷 샘플 2. netresec - 샘플 사이트 정보 모음 페이지 https://www.netresec.com/?page=PcapFiles - 네트워크 마이너를 만든 회사에서 여러 곳에서 모은 샘플 제공 3. malware-traffic-analysis.net https://www.malware-traffic-analysis.net/ - 악성코드 감염 사례 샘플 공유 및 챌린지 - 악성코드 분석 관점으로 패킷 파일을 원할 시에 좋음 4. Hybrid Analysis https://www.hybrid-analysis.com/ - 자동 분석 사이트에서도 샘플이나.. 2023. 4. 7. 이전 1 다음
