| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
- 인시큐어뱅크
- frida
- vulnhub
- Docker
- SQL Injection
- Openstack
- 안드로이드
- Strings
- logstash
- 파이썬
- ESXi
- otter
- Volatility
- igoat
- Suninatas
- ctf
- 2018
- CTF-d
- XSS
- elasticsearch
- NTFS
- kibana
- foremost
- diva
- InsecureBank
- beebox
- lord of sql injection
- Reflected XSS
- base64
- MFT
- Today
- Total
목록메타스플로잇 (10)
Information Security
Volatility를 통해 Gitstatck 메모리 포렌식 분석
Volatility를 이용해 gistack imaginfo를 확인했다. gistakc pslist 파일을 저장했다. 프로세스들이 동시에 비슷한 시간에 빠르게 실행되고 죽은 것을 확인할 수 있다. mimikatz.exe는 윈도우 계정 정보가 평문으로 저장된 것을 가져오는 프로그램이다. (문서형 악성코드) 웹 서버 프로세스가 실행되고 있는 것을 알 수 있다. pstree 구조를 확인하기 위한 명령어다. 웹 서비스에 cmd.exe가 실행되는 것을 알 수 있다. 어떤 것에 의해서 시스템 명령어(RCE)가 실행되고 있는 것을 알 수 있다. powershell을 통해 명령어를 실행 해 계정 정보를 획득하는 것을 알 수 있다. sysmon.exe 통합적인 로그 프로세스가 동작하는 것을 알 수 있다. filescan를..
FTP 익명연결 공격과 와이어샤크 패킷 분석
메타스플로잇 msfconsole을 이용해 ftp scanner 조회 시 anonymous를 사용했다. anonymous 필요한 옵션들을 확인했다. set RHOSTS 옵션을 이용해 scanner 해당 IP를 입력했다. show options을 보면 RHOTS 부분에 IP를 확인할 수 있다. run 명령어를 실행하면 공격이 성공한 것을 알 수 있다. Wireshark Protocol Hieracrhy를 통계를 보면 FTP 프로토콜을 확인할 수 있다. 패킷을 보면 anonymous 로그인 성공한 것을 알 수 있고 kuhwwbYs 폴더를 생성하고 삭제가 된 것을 알 수 있다. FTP 통신 패킷들을 알 수 있다. FTP 동작 내용들을 한눈에 볼 수 있다.
MobSF 안드로이드 자동화 분석
apt-get install git 설치를 했다. apt-get install python3 파이썬 3을 설치했다. apt-get install openjdk-8-jdk JDK 8을 설치했다. apt install python3-venv python3-pip python3-dev build-essential libffi-dev libssl-dev libxml2-dev libxslt1-dev libjpeg62-turbo-dev zlib1g-dev wkhtmltopdf 설치했다. MobSF를 설치했다. MobSF 폴더 파일들을 확인했다. MobSF 폴더에서 ./setup.sh 파일을 실행시켰다. ./run.sh 파일을 실행시켰다. http://0.0.0.0:8080 접속 시 아래와 같은 MobSF 페이지가 ..
Celerystalk 오픈도구 환경 분석
celerystalk를 사용하면 실행하려는 도구에 대한 모든 권한을 유지하면서 비동기 작업 (일명 작업 )으로 네트워크 검색 / 열거 프로세스를 자동화할수 있습니다. celerystalk 프로그램을 설치 후 파일들을 확인했다. setup 폴더에서 ./install.sh 실행시켰다. celerystalk Options을 확인했다. http://192.168.136.140 페이지를 scan을 시도했다. http://192.168.136.140 screenshots을 시도했다. 하단에 report를 firefox로 열어보면 screenshot 페이지들을 확인할 수 있다. View Details 메뉴에 들어가면 서버 버전 정보를 알 수 있다. http://192.168.136.140 nmap scan을 시도했다..
XSpear - XSS Scanner
git clone으로 XSpear을 다운로드하였다. XSpear 파일 구성들을 확인했다. gem 명령어로 XSpear-1.3.1.gem 파일을 설치했다. XSpear 옵션들을 확인했다. http://www.altoromutual.com:8080 테스트 페이지에 Scanner를 실행했다. XSpear report를 확인해보면 XSS가 동작하는 것을 알 수 있다. Query들을 확인할 수 있다. 페이지에 들어가면 XSS 동작하는 것을 알 수 있다.
PHP Code Injection을 통해 내부침투
비박스를 활용해 PHP Code Injection을 사용해 메타스플로잇에 내부 침투를 해볼 것이다. bee-bxo PHP Code Injection 소스코드를 보면 입력 값이 message 부분에 들어오고 eval 함수를 통해 취약하는 것을 알 수 있다. test;sysmte("ls -al") 리눅스 명령어가 동작하는 것을 알 수 있다. msfvenom 이용해 -p 옵션을 쓰고 reverse_tcp를 이용해 공격코드를 만들고 -e 옵션 인코드를 하여 백신 우회를 할 수 있도록 만들었고 WEB 서버 올렸다. WEB 서버에 공격코드가 생성되어 있는 것을 알 수 있다. 공격코드를 보면 php 형태에 맞게 수정하였다. msfconsole에서 악성코드와 똑같이 설정을 해주면 된다. 공격 명령어를 입력해 공격을 시..
MySQL 버전 정보 노출
칼리 리눅스에 등록된 MySQL 취약점 항목을 보여준다. 취약점 file_enum, hashdump, login, version 항목을 확인할 수 있다. mysql_version 취약점 항목 옵션을 볼 수 있다. Metasploitable 서버 IP주소를 확인했다. RHOSTS 192.168.136.140 서버 IP주소를 입력했다. (setg 그룹 명령어) 공격 성공 시 MySQL 5.0.51a-3 ubuntu5 서버 정보가 보이는 것을 알 수 있다. 와이어 샤크 Protocol Hierarchy 옵션에서 MySQL 프로토콜 확인했다. 와이어 샤크 Conversations 옵션에서도 3306 포트 MySQL를 확인했다. 패킷에 MySQL 버전이 노출되는 것을 확인할 수 있다. mysql.version 옵..
msfpc 안드로이드 악성코드 제작을 이용해 내부침투
msfpc 도구를 이용해 악성 apk를 제작했다. android apk 파일과 android 리소스 파일 2개가 생성된 것을 알 수 있다. apk 파일 이름이 너무 길어 test.apk 파일 이름으로 변경했다. android 리소스 파일 내용들을 확인했다. msfconsole -r 옵션을 이용해 android 리소스 파일을 불러왔다. python을 이용해 HTTP Server를 열었다. 안드로이드에서 HTTP Server에 접속을 하면 test.apk 악성코드가 보이는 것을 알 수 있다. test.apk 설치 화면에서 권한 부여가 되어 있는 항목들을 알 수 있다. 시작할 때 실행, 시스템 설정 수정을 할 수 있는 것을 알 수 있다. test.apk 파일을 실행시키면 Session이 연결된 것을 알 수 있..