snort 설치를 올려야하는데 사실 snort 설치는 어렵다 ㅠㅠ
올릴려고 스샷 찍는데 작동을 안해서 못올리고 다시 시도 중이다..
우선 정보 수집부터 해보겠다
공격 대상을 정하고 대상에 대한 정보 수집을 하고 취약점 분석
그리고 시나리오를 기반으로 공격해 볼 예정이다
정보 수집에는 여러가지 방법이 많지만
가상의 망이기 때문에 whois / netcraft 그런 사이트에서
정보 수집이 불가하다
<Whois 검색 결과>
<NetCraft 검색 결과>
<Archive 검색 결과>
<SHODAN 검색 결과>
이런 식으로 정보 수집을 했다고 가정해야 할거 같다
회사의 웹 사이트 주소는 test.com이고 지사도 한곳에 위치한 것을 알아낼 수있었고
DNS 서버를 직접 운영하고 있다는 사실을 알게 되었다.
본격적으로 정보 수집을 시작해보자
우선 DNS를 통한 정보 수집을 해보자.
외부 공격자 PC에서 nslooup을 이용해보자
nslookup
일단 알고 있는 정보로 검색해 본다
test.com
그럼 test.com 의 ip 주소가 나올 것이다
별 다른 정보는 없기에 넘어가고
도메인에 대해 정보를 더 얻기 위해서
set type=any
를 입력해주고 다시
test.com을 입력해 본다.
조금 더 자세한 정보가 나오고 nameserver의 도메인 주소도 알아냈다.
하지만 정보가 부족하다
set type=axfr 을 입력하고 test.com을 쳐보자
위와 같이 zonefile의 정보를 모두 볼 수 있다
(zone transfer 설정이 되어있다면 정보가 안나올 것이다.)
192.168.2.50 = test.com
192.168.2.100 = ns1.test.com
192.168.2.150 = ns2.test.com
192.168.2.200 = ftp.test.com
172.16.0.150 = sub.test.com
이런 정보를 얻을 수 있었고
172.16.0.150 이라는 전에와 다른 ip대역이 있는걸 알수 있었다.
set type=any
sub.test.com
dns를 이용하여 정보를 수집해 보았고, 이제 ping을 이용하여
어느정도 정보를 확인해보자
ping 을 dns를 이용한 정보 수집에서 찾아낸 ip에 보내본다.
모두 다 ping이 제대로 도착한 것을 알 수 있고 (방화벽 유무 또는 룰 설정에 대해 예측 가능)
TTL 값을 이용하여 각 서버의 OS가 무엇인지 예측이 가능하다.
TTL 값이 64에 가까우면 Linux, 128에 가깝다면 Windows, 255에 가깝다면 Unix로 예측가능하다
이제 DNS를 이용하여 얻은 IP대역대에 다른 IP들이 있는지 알아보자
netenum을 이용하는데 엄청 빠르게 스캔이 가능하다
netenum 192.168.2.0/24 5 0
(여기서 5는 timeout 이다)
netenum 172.16.0.0/24 5 0
딱히 다른 IP는 보이지 않는다 하지만 192.168.2.0/24 에선 192.168.2.2라는 처음 보는 IP를 발견 가능했다
ping을 보내보니 Unix일 확률이 높은걸 알 수 있었다.