패킷10 [네트워크 패킷 분석] 메타스플로잇 프로를 이용한 공격 네트워크 패킷 분석 사례 프로토콜 요약 정보들을 보면 메타스플로잇 2가 굉장히 많은 취약점을 가지고 있기 때문에 열려 있는 프로토콜이 굉장히 많이 존재한다. Remote Procedure Call 프로토콜이 열려 있으면, 공격자가 접근 권한이 있는 경우에 서비스의 정보들을 주기 때문에 공격자는 프로세스 안에 있는 정보들을 확인할 수 있다. 메타스플로잇 프로 버전에서 SMB 취약점이 있다고 생각하면 무조건 Microsoft Windows Browser Protocol에 접근하는 코드를 넣는다. TCP 프로토콜을 보면 Telnet, SSH 프로토콜 등이 있다. HTTP 관련 프로토콜들은 많지는 않다. 따라서 메타스플로잇 프로 버전에서 pentest(패킷 수집 시에 진행한 것)에는 웹 스캔이 포함되지 않는다는 것을 알 수 있다. pe.. 2023. 5. 31. [침입탐지와차단시스템] ICMP 차단 3 Xubuntu에서 iptables 룰을 추가한다. Xubuntu에서 iptables 차단 실시간 로그를 진행한다. Kali에서 공격을 시도한다. * 위 명령어의 ICMP 크기는 1023 바이트이므로 1024 바이트가 넘지 않아서 IPS 로그가 1번 기록된다. -> 28 headers + 995 Data = 1023 bytes Xubuntu에서 iptables 차단 실시간 로그를 확인한다. Kali에서 다시 공격을 시도한다. * 위 명령어의 ICMP 크기는 1024 바이트이므로 IPS 로그가 2번 기록된다. -> 28 headers + 996 Data = 1024 bytes Xubuntu에서 로그를 확인한다. * ICMP 전체 크기가 1024 바이트 이상이므로, 로그는 2개만 기록된다. 2023. 4. 28. [침입탐지와차단시스템] ICMP 차단 2 Xubuntu에서 루트 계정으로 전환한다. Xubuntu에서 iptables 룰을 추가한다. 현재 Kali IP가 192.168.100.128이다. Xubuntu에서 와이어샤크를 실행한다. Kali에서 ping을 발생한다. 192.168.100.xxx → 192.168.10.20 으로 reply 패킷이 없다. Xubuntu에서 iptables 차단 실시간 로그를 확인한다. Kali에서 ping 상태를 확인한다. 2023. 4. 28. [네트워크 패킷 분석] 시스템 웹 취약점 도구 Nessus 패킷 분석 사례 Nessus - Nessus 자동 스캔 - 모의해킹 할 때, 내부 취약점 분석을 할 때 무료로 사용할 수 있는 도구 - 웹해킹뿐만 아니라 여러 가지 시스템에 관련된 정보들, 취약점 분석 가능 - 잘못된 버전 정보, 불필요한 디렉토리 노출 등 여러 가지 정보들 검색 가능 와이어샤크 Statistics > Protocol Hierarchy에서 프로토콜 통계를 확인한다. TCP와 HTTP가 차지하고 있는 걸 확인할 수 있다. 특징은 다른 웹취약점 도구와는 달리 많은 프로토콜 형태가 발생하고 있다는 점이다. 와이어샤크 입장에서 의심되는 패킷들, 공격 과정에서 난독화가 발생됐거나 공격 패턴들이 안에 포함되어 있다면 Malformed Packet으로 분류한다. 자동 도구들은 패킷 안에 특징 들이 숨어 있다. Mal.. 2023. 4. 28. [네트워크 패킷 분석] 웹 취약점 진단 도구 NIkto 패킷 분석 사례 NIkto - 웹 취약점 도구 - 많은 옵션 제공 X - 콘솔 기반 - 내부적으로 다양한 플러그인 존재 대상 서버(호스트 주소)를 http 형식으로 입력해서 NIkto를 사용할 수 있다. 이후 와이어샤크를 실행해서 어댑터를 eth0으로 설정하여 패킷을 확인하고, 패킷을 저장한다. 디렉토리 인덱스 취약점이 있다. * NIkto의 장점은 이런 취약점을 아주 빠르게 볼 수 있다는 것이다. php와 관련된 것들을 설치하고 난 뒤에 관련된 아이콘, 설치된 기본 페이지를 가지고 어떤 버전들이 사용되었는지 알기 위한 패턴들이 있다. 와이어샤크에서 패킷들을 불러왔다. 초록색은 암호화 되지 않는 http로 통신한 것을 의미한다. Statistis > Protocol Hierarchy에서 현재 어떤 패킷들이 있는 지 확인.. 2023. 4. 28. [네트워크 패킷 분석] 웹 취약점 진단 도구 arachni 패킷 분석 사례 bee-box를 실행해주고, arachni에서 타겟을 bee-box로 설정한다. 와이어샤크의 Capture Interfaces에서 'VMware Network Adapter VMnet8'로 설정해서 start를 누른다. * Wi-Fi로 설정 시 외부 패킷까지 탐지됨 5분 정도 스캔한 후에 멈춘다. arachni에서 취약점을 확인해보면, 디렉토리에서 취약점이 제일 많이 발생했다. passwords 디렉토리로 들어갔다. 인증되지 않은 상태에서 디렉토리에 접근이 이뤄진 것을 볼 수 있다. 웹서비스를 하면서 남아 있는 백업 파일들도 확인할 수 있다. CVS로 들어가면 phpinfo 파일을 확인할 수 있다. 해당 파일이 남아 있어서 버전 정보, 웹서비스의 절대경로들이 노출될 수 있다. 여기까지는 디폴트로 돌아가는.. 2023. 4. 27. [침입탐지와차단시스템] SSH, Putty, Telnet 실습 은밀하게 통신하는 SSH SSH(Secure Shell)는 원격지 호스트 컴퓨터에 접속하기 위해 사용되는 인터넷 프로토콜로 원격지에서 해당하는 서버의 터미널로 접속할 수 있는 도구라고 생각하면 된다! Kali에서 SSH 접속 ssh xubuntu@(Xubuntu IP 주소)를 입력하여 Xubuntu 환경으로 들어간다. Xubuntu에 있는 터미널에 접속했기 때문에 192.168.100.20이 보인다. 현재 Kali지만 화면은 Xubuntu에 접속한 화면인 것이다. Putty 설치 Putty는 SSH, 텔넷, raw TCP를 위한 클라이언트로 동작하는 자유 및 오픈 소스 단말 에뮬레이트 응용 프로그램 https://www.putty.org/ 위 사이트에서 Putty를 다운 받을 수 있다. 위 버전을 사용했.. 2023. 4. 14. [네트워크 패킷 분석] 침해사고 샘플 분석 사례 문제 및 풀이 2 와이어샤크에서 Statistics > Protocol Hierarchy를 클릭해 프로토콜 통계를 확인했다. TCP와 TCP 중 HTTP를 많이 사용한 것을 확인할 수 있다.Media Type의 크기가 상당히 크므로 이걸 중점적으로 봐야 한다.공격자들이 웹쉘 등을 써서 정보들을 가져올 때 Line-based text data로 분류가 된다. 웹쉘이 있기 때문에 Statistics > HTTP > Packet Counter를 봤다.Bruce force 공격 등을 사용하면 5xx나 4xx 쪽으로 많이 찍히는데 없으므로정상적인 페이지로 접근하여 시스템을 공격했음을 알 수 있다. Statistics > HTTP > Requests 정보에서 접근한 도메인 정보를 확인할 수 있다. 두 개의 포트가 열려 있다. 192.. 2023. 4. 14. [네트워크 패킷 분석] 침해사고 샘플 분석 사례 문제 및 풀이 1 패킷 안에 도메인 정보들이 많은 경우엔 와이어샤크에서 Statistics > Resolved Addresses 도구를 이용해 패킷 안에 도메인이 몇 개가 들어 있는 지 분석해야 한다. 그러나 지금 분석하는 패킷은 도메인 정보가 그렇게 많지는 않다. 패킷들이 어디서 많이 발생했는 지 확인하기 위해서 Statistics > Protocol Hierarchy를 본다. TCP와 TCP 중에서도 HTTP의 비중이 높은 것을 확인할 수 있다.이는 웹서비스를 통해서 공격 행위가 일어났다는 것을 의미한다.MIM Multipart Media Encapsulation은 별로 없기 때문에 공격자가 크지 않은 데이터를 첨부 파일로 사용했다고 예측할 수 있다.Line-base text data는 공격자가 요청해서 출력이 브라우.. 2023. 4. 14. [네트워크 패킷 분석] 와이어샤크와 네트워크마이너를 활용한 패킷 분석 파일 업로드 취약점이 발생했던 패킷 파일(예시)을 와이어샤크에서 연다. 메뉴에서 Statistics -> Protocol Hierarchy를 클릭하면 패킷 안에서 얼마나 많은 프로토콜을 사용하고 있는지 프로토콜 통계를 확인할 수 있다. TCP와 HTTP를 많이 사용하는 것을 볼 수 있다. HTTP 중 Line-based text data를 많이 사용한다는 것은 HTTP를 통해서 데이터를 요청하는 작업을 많이 하는 것이다. HTTP를 많이 사용하고 있기 때문에 http를 통해서 필터링을 해서 데이터를 확인한다. 패킷이 많은 경우엔 Statistics -> HTTP -> Packet Counter를 통해 상태 코드 별로 어떤 패킷들이 많이 작동하는 지 통계를 볼 수 있다. 캡처에는 없지만 POST보다 GET.. 2023. 4. 7. 이전 1 다음
