Information Security

해당 서버 실행 시 우분투로 실행되는 것을 확인 공격자에 칼리리눅스 네트워크 대역 확인 nmap 프로그램을 이용해 192.168.116.0/24 대역 스캔하여 서버의 IP 주소 192.168.116.135 확인 192.168.116.135 서버에서 FTP 서버, SSH 서버, HTTP 프로세스가 동작하는 것을 확인 FTP 서버 버전이 1.3.3c라는 것을 확인 Metasploit에서 proftpd 해당 버전의 backdoor 취약점 확인 해당 공격에 대한 reverse 페이로드 선택 공격에 필요한 정보들을 options 명령어로 확인 RHOSTS는 공격할 서버의 IP 주소, LHOST는 칼리리눅스의 IP 주소 입력 exploit 공격을 수행하면 세션이 연결되는 것을 확인 /etc/shadow 파일에서..

Apache Struts2는 Java EE1 웹 애플리케이션 개발을 위한 오픈소스 프레임워크다. Java EE 웹 애플리케이션 분야에서 수많은 활용 사례가 존재한다. Apache Struts2 파일 업로드 우회를 통한 원격 코드 실행 취약점이다. 마찬가지로 파일 업로드 로직 결함으로 인해 발생하며 공격자는 OGNL 표현식2을 이용해 임의의 경로에 웹쉘(Web Shell)과 같은 악성파일을 업로드할 수 있다. S/W 구분취약점 버전Apache Struts2Struts 2.0.0 – Struts 2.3.37Struts 2.5.0 – Struts 2.5.33Struts 6.0.0. – Struts 6.3.0.2  이름정보피해자Struts 6.3.0.2(192.168.238.134)공격자Kali Linux(19..

백도어 공격자의 접근을 허용할 목적으로 컴퓨터에 자기 자신을 설치하는 악성코드다. 백도어는 공격자가 부분 인증이나 무인증으로 컴퓨터에 접속해 로컬 시스템에서 명령어를 실행할 수 있다. 메타스플로잇을 실행시킨 후 8180 포트 Tomcat 관리자 페이지로 접속했다. Tomcat Manager 메뉴를 클릭후 tomcat/tomcat 로그인했다. Tomcat Manager 페이지를 보면 해당 페이지 경로를 확인할 수 있다. 하단을 보면 업로드 메뉴가 있어 shell.war 파일을 업로드하였다. 경로를 다시 보게 되면 shell이 업로드된 것을 알 수 있다. shell.jsp 페이지 접속하면 WebShell이 정상적으로 업로드 된 것을 알 수 있다. Launch command 버튼 클릭 후 ls -al 명령어 ..

Volatility를 이용해 gistack imaginfo를 확인했다. gistakc pslist 파일을 저장했다. 프로세스들이 동시에 비슷한 시간에 빠르게 실행되고 죽은 것을 확인할 수 있다. mimikatz.exe는 윈도우 계정 정보가 평문으로 저장된 것을 가져오는 프로그램이다. (문서형 악성코드) 웹 서버 프로세스가 실행되고 있는 것을 알 수 있다. pstree 구조를 확인하기 위한 명령어다. 웹 서비스에 cmd.exe가 실행되는 것을 알 수 있다. 어떤 것에 의해서 시스템 명령어(RCE)가 실행되고 있는 것을 알 수 있다. powershell을 통해 명령어를 실행 해 계정 정보를 획득하는 것을 알 수 있다. sysmon.exe 통합적인 로그 프로세스가 동작하는 것을 알 수 있다. filescan를..