[Snort] Kali 에 Snort 설치하기






Kali 에 Snort 를 설치하여 탐지패턴에 대한 연구를 할 수 있습니다.






1. 업데이트를 실행합니다.



# apt-get update







2. 만약 업데이트가 되지 않는다면 업데이트 주소를 /etc/apt/sources.list 에서 다음과 같이 변경합니다.



deb http://http.kali.org/kali kali-rolling main non-free contrib 또는 deb http://old.kali.org/kali moto main non-free contrib







2. 업데이트 후 Snort 를 설치합니다.



# apt-get install snort




Y 를 눌러 설치를 진행합니다.






3. 설치가 완료되면 Snort 정책을 편집합니다.



# vi /etc/snort/rules/local.rules






4. 정책 편집 후 데몬을 활성화 합니다.



# snort -v -c /etc/snort/rules/local.rules






5. 로그는 아래와 같이 확인할 수 있습니다.



# tail -f /var/log/snort/alert






저작자 표시 비영리 동일 조건 변경 허락
신고

 

[SSH] Kali에서 SSH root 로그인 가능하게 설정하기

 

 

 

 

 

처음 칼리 리눅스를 설치하고 ssh 로 접근을 하면 다음과 같이 계속 비밀번호를 물어 봅니다.

 

 

ssh 접근

 

 

 

 

이유는 아래와 같이,

ssh 에 보안설정이 있어서 비밀번호를 맞게 입력했음에도 불구하고 로그인이 안 되는 거였네요.

 

 

# tail -f /var/log/auth.log

 

 

 

 

 

vi /etc/ssh/sshd_config를 하여 ssh 보안설정을 아래와 같이 바꿔봅니다.

 

PermitRootLogin 항목을 prohibit-password -> yes로 변경함

 

 

# vi /etc/ssh/sshd_config

 

 

 

 

ssh 설정을 변경하신 후 아래와 같이 ssh 데몬을 재시작 합니다.

 

 

# /etc/init.d/ssh restart

 

 

 

 

 

재시작 하신 후에는 root로 로그인이 잘 되는 것을 확인할 수 있습니다. ^^

 

 

저작자 표시 비영리 동일 조건 변경 허락
신고

[한글] 칼리 리눅스 설치 후 한글 폰트가 깨질 경우



칼리 리눅스 설치 후 아래와 같이 한글 폰트가 깨져서 사용하기 어려울 때가 있습니다.





그럴 때 아래와 같은 방법을 통해 한글 폰트를 설치 하면 됩니다.






1. 터미널 실행








2. 저장소 경로 업데이트


# vi /etc/apt/sources.list 에  deb http://httpredir.debian.org/debian jessie main non-free contrib 추가








3. 저장소 업데이트


# apt-get update






4. 한글 입력기 설치


# apt-get install nabi im-switch






5. 한글 폰트 설치 (나눔 폰트 관련 전체 패키지 설치)


# apt-get install fonts-nanum*



설치 후 아래 화면과 같이 한글이 제대로 표시되는 것을 볼 수 있습니다.








6. 한글 입력기 설정


마지막으로 im-config 를 실행하여 한글 입력기 설정을 합니다.


# im-config




저작자 표시 비영리 동일 조건 변경 허락
신고

[BackTrack] 백트랙을 이용한 arp 스푸핑 및 dns 스푸핑 테스트

 

 

 

 

위 그림에서 사용자가 인터넷을 하는 경로는

 

"192.168.10.33  --->  스위치  --->  192.168.10.1(게이트웨이)  --->  인터넷" 과 같습니다.

 

즉 트래픽 Flow는 1 -> 3 의 방향입니다.

 

 

 

 

 

그러나, 만약 해커가 게이트웨이 IP에 대한 MAC을 위조하여 본인이 게이트웨이라고 broadcasting을 한다면,

 

사용자는 인터넷을 할 때 1 -> 2 의 경로를 거치며 인터넷이 되지 않습니다.

 

바로 arp spoofing 입니다.

 

 

 

 

 

또한 이때 해커가 fragrouter 기능을 활성화 할경우,

 

경로는 1 -> 2 -> 3 으로 변경되며 사용자의 입장에서는 arp spoofing 공격이 진행되는 지 모르게(?)

 

인터넷이 잘 됩니다.

 

 

 

 

 

그리고 arp spoofing -> fragrouter 가 적용된 환경에서 해커는 dns spoofing을 통해 사용자의 dns를 변조하여

 

웹사이트 접속 시 임의의 사이트로 우회 접속을 하게 할 수 있습니다.

 

 

 

 

 

# 테스트 방법

 

1. BackTrack에서 다음과 같이 명령어를 입력합니다.

 

arpspoof -i eth1 -t 192.168.10.33 192.168.10.1

 

 

 

여기서 -i 는 인터페이스, -t 는 Target(사용자), 192.168.10.1 은 게이트웨이(host) 입니다.

 

위 명령어 수행 시 Target은 잘못된 게이트웨이로 통신을 하므로 인터넷이 안 됩니다.

(물론 게이트웨이의 mac address가 잘못된 점을 아실 수 있습니다.)

 

 

 

 

 

2. 다음은 우리나라 사람이 개발한 fragrouter 명령을 사용하여 트래픽을 우회 시킵니다.

 

fragrouter -i eth1 -B1

 

 

마찬가지로 -i 는 인터페이스, -B1 은 normal IP forwarding 옵션입니다.

 

위 상황에서 사용자는 인터넷이 되지만, fragrouter를 실행시킨 해커 PC를 거쳐 트래픽이 흐릅니다.

 

경로는 앞에서 설명한 바와 같이 1 -> 2 -> 3 입니다.

 

 

 

 

 

3. 마지막으로 dns spoofing 테스트 입니다.

 

dnsspoof -f hosts.txt

 

-f 옵션은 파일을 지정합니다.

 

dnsspoof 를 실행하기 전 해커는 hosts.txt(임의의 파일명 가능)를 다음과 같이 만듭니다.

 

저의 경우 사용자가 네이버를 접속할 때 구글로 강제접속 하게끔 파일을 만들었습니다.

 

 

 

이상으로 arp spoofing 및 dns spoofing 테스트를 마칩니다.

 

 

 

 

 

저작자 표시 비영리 동일 조건 변경 허락
신고

[Reborn] BackTrack -> Kali Linux






BackTrack 이 Kali Linux로 새롭게 태어납니다.










티저영상 URL : 

http://www.backtrack-linux.org/backtrack/kali-a-teaser-into-the-future/

저작자 표시 비영리 동일 조건 변경 허락
신고

[FootPrinting] 정보수집을 통해 OS 및 Open port 를 확인하는 방법






Nmap 과 같이 BackTrack을 통해 OS 정보 및 Port Scan을 할 수 있습니다.



# OS FootPrinting 방법



1. msfconsole



2. use auxiliary/scanner/smb/smb_version



3. set rhosts 192.168.10.248          // Target IP 192.168.10.248



4. exploit






OS FootPrinting 방법



1. msfconsole



2. use auxiliary/scanner/portscan/syn



3. set rhosts 192.168.10.252          // Target IP 192.168.10.252



4. exploit



5. 결과



Port Scan 및 FootPrinting 행위 자체는 불법이므로 테스트 용도로만 사용하시길 바랍니다.

저작자 표시 비영리 동일 조건 변경 허락
신고

[ARP Scanner] Netdiscover - Active/Passive ARP 스캐너

 

 

 

 

 

BackTrack에 내장된 Netdiscover 는 activce / passive arp 스캐너 입니다.

 

 

Wardriving(워드라이빙) 이나 무선 네트워크 환경 또는 일반 스위칭 네트워크 환경에서도 사용이 가능합니다.

 

 

# 다운로드 URL : http://sourceforge.net/projects/netdiscover/files/latest/download

 

 

저는 BackTrack에서 테스트 해보았습니다.

 

 

 

 

 

# 사용 방법

 

 

1. 인터페이스 지정 후 네트워크 대역(/24) 스캐닝

netdiscover -i eth0 -r 192.168.10.0/24

 

 

 

 

 

 

2. 네트워크 대역을 스캐닝 하되 passive 모드로 스캐닝 // passive의 경우 패킷을 전송하지 않고 스니핑으로 스캔됨

netdiscover -i eth0 -r 192.168.10.0/24 -p

 

 

 

 

 

 

 

3. 도움말

netdiscover -h

저작자 표시 비영리 동일 조건 변경 허락
신고

[Vulnerability Scanner] Joomscan 을 이용하여 웹 취약점 분석하기






Joomscan은 CMS로 유명한 Joomla 제품 전문 스캐너 입니다.

2012/10/22 업데이트에서는 673개의 취약점 항목을 검사할 수 있네요...






# BackTrack(CLI)에서 테스트하는 방법



1. cd /pentest/web/joomscan


2. ./joomscan.pl -u www.target.co.kr



# BackTrack(GUI)에서 테스트하는 방법



1. Applications -> BackTrack -> Vulnerability Assessment -> Web Application Assessment ->

   CMS Vulnerability Identification -> joomscan







# joomscan update 방법

./joomscan.pl update





저작자 표시 비영리 동일 조건 변경 허락
신고

[BSOD] BackTrack을 이용한 RDP 취약점 테스트 / MS12-020 Microsoft Remote Desktop Use-After-Free DoS

 

 

 

 

 

원격 데스크톱의 취약점으로 인한 원격 코드 실행 문제점을 BackTrack을 통해 테스트 해보려고 합니다.

 

 

아래 취약점 코드가 실행될 경우 BSOD(Blue Screen of Deatch)가 실행됩니다.

 

 

 

 

 

참고 URL :

http://technet.microsoft.com/ko-kr/security/bulletin/ms12-020

http://www.exploit-db.com/exploits/18606/

 

 

 

 

 

# 테스트 방법

 

 

1. msfconsole 실행

 

 

 

 

 

2. msf > use auxiliary/dos/windows/rdp/ms12_020_maxchannelids

 

 

 

 

 

 

3. msf  auxiliary(ms12_020_maxchannelids) > set rhost 192.168.10.248          // Target IP 설정

msf  auxiliary(ms12_020_maxchannelids) > set rport 3387          // 원격데스크탑 port 설

 

 

 

 

 

 

4. exploit

 

 

 

 

 

테스트 시 Target의 BSOD는 실패하였지만 다른 시스템에 테스트하였을 시 아래와 같은 블루스크린을 확인할 수 있었습니다.

 

 

 

 

 

 

 

# 대응방법

 

1. 서버의 원격데스크톱 포트를 3389에서 다른 포트로 변경하여 공격 시도를 줄입니다.

원격데스크톱 포트 변경 방법 : http://tisiphone.tistory.com/11

 

 

2. 윈도우 보안 업데이트를 합니다.

저작자 표시 비영리 동일 조건 변경 허락
신고

[BackTrack] 백트랙 업데이트 하기






BackTrack을 사용하다 보면 가끔 업데이트 된 exploit을 사용해야 할 경우가 있습니다.



이럴 때 svn 업데이트를 하는 방법이 있습니다.



# 방법 : msfupdate






만약 msfupdate 가 되지 않을 경우,



해당 디렉터리에서 svn cleanup 명령을 해주면 됩니다. 



1. cd /opt/metasploit/msf3



2. svn cleanup



3. msfupdate



저작자 표시 비영리 동일 조건 변경 허락
신고

[우분투] Backtrack에서 SSH 자동 실행하기






백트랙을 Vmware에 설치한 뒤 원격에서 SSH 접속하여 테스트하려니 자주 걸리는 문제가 있었습니다.

바로 SSH 서비스가 시스템 시작과 동시에 시작되지 않아서 Vmware에 접속하여 매번 수동으로

/etc/init.d/ssh start 명령을 해줘야 했습니다.






리눅스의 chkconfig service on 명령과 같이 우분투에도 rc.d에 서비스를 등록하여,


시스템 시작 시 자동으로 서비스가 시작되도록 설정할 수 있습니다.






# 설정 방법



1. update-rc.d ssh defaults


위와 같은 명령을 통해 SSH 서비스를 자동 시작하도록 설정할 수 있습니다.






# 설정 해제 방법


1. update-rc.d -f ssh remove          // -f 와 remove 옵션을 사용합니다.

위와 같은 명령을 통해 해제도 가능합니다.



저작자 표시
신고
  1. 또는 update-rc.d ssh enable 도 가능합니다.

  2. # 데비안으로 바뀐 Kali에서 SSH 자동실행 방법은

    1. apt-get install openssh-server
    2. update-rc.d -f ssh remove
    3. update-rc.d -f ssh defaults
    4. dpkg-reconfigure openssh-server

    으로 가능합니다.

[goohost] goohost 를 이용하여 fingerprinting 하기



goohost 는 구글 검색을 통하여 특정도메인의 호스트/서브도메인, IP, 이메일 등을 보여주는 간단한

스크립트 입니다. watakushi 라는 분이 스크립트를 제작하였네요...



goohost 를 이용하여 사이트에 대한 핑거프린팅이 가능합니다.

저는 backtrack 5.2 에 설치된 파일로 테스트 해보았습니다.



# 테스트 방법


1. 호스트 검색 시

./goohost.sh -m host -t test.com


2. IP 검색 시

./goohost.sh -m ip -t test.com


3. 이메일 검색 시

./goohost.sh -m mail -t test.com






테스트 후 TXT  파일로 결과가 나옵니다.

more(cli)또는 gedit(gui) 로 확인 가능합니다.



또한 goohost 설치방법은 위키에서도 잘 나와있습니다.

http://www.aldeid.com/wiki/Goohost



저작자 표시
신고
[backtrack] static ip 설정하기


[우분투] 우분투에서 IP 설정하기





백트랙에서 IP를 설정하는 방법은 우분투에서 IP를 설정하는 방법과 동일합니다.



# method


1. cd /etc/network

2. vi interfaces

3. vi /etc/resolv.conf


ex)

address 192.168.1.213

gateway 192.168.1.1

netmask 255.255.255.0




저작자 표시
신고

[fingerprinting] theHarvester testing




theHarvester 는 phthon으로 개발되었으며,

이메일 계정, 사용자 이름, 호스트 이름과 서브 도메인을 찾아주는 툴 입니다.




다운로드 : https://code.google.com/p/theharvester/




# 제공되는 소스


  • Google - emails,subdomains/hostnames
  • Google profiles - Employee names
  • Bing search - emails, subdomains/hostnames,virtual hosts
  • Pgp servers - emails, subdomains/hostnames
  • Linkedin - Employee names
  • Exalead - emails,subdomain/hostnames






# 사용방법 / microsoft.com fingerprinting

./theharvester.py -d microsoft.com -l 500 -b google

./theharvester.py -d microsoft.com -b pgp

./theharvester.py -d microsoft.com -l 200 -b linkedin

./theHarvester.py -d microsoft.com -l 200 -b all



# test.com 도메인 검색 화면




저작자 표시
신고
[ipcalc] 리눅스에서 IP 계산하는 명령어

윈도우에서도 IP 서브넷 계산기가 있듯이...
리눅스에서 손쉽게 IP를 넣으면 네트워크 대역을 계산할 수 있는 명령어가 있습니다.


바로 ipcalc 입니다.

저의 경우 백트랙에서 테스트 해보았습니다.


# backtrack에서 ipcalc 실행화면



# ipcalc 사용방법

ipcalc 192.168.0.1/24
ipcalc 192.168.0.1/255.255.128.0
ipcalc 192.168.0.1 255.255.128.0 255.255.192.0
ipcalc 192.168.0.1 0.0.63.255



# 참고 :
일반 리눅스 패키지에 있는 ipcalc의 경우,
ipcalc -c 192.168.0.1 과 같은 방법으로 체크를 하며 사용법이 다소 다릅니다.




# 리눅스에서 사용 방법 :

1. IP 주소 체크 시 : ipcalc -c 192.168.0.1
정상 IP일 경우 아무런 메시지가 표시되지 않으며, 에러발생 시 해당 내역이 표시됩니다.



2. 브로드캐스트 주소 체크 시 : ipcalc -b 192.168.0.100/25



3. 넷마스크 체크 시 : ipcalc -m 192.168.0.100/26



4. IP가 해당되는 네트워크 주소 체크 시 : ipcalc -n 192.168.0.100/27



5. IP의 prefix 확인 시 : ipcalc -p 192.168.0.100 255.255.255.252







저작자 표시
신고
  1. 나모찾기 2017.09.08 16:22 신고

    덕분에 편하게 계산할 수 있었습니다.
    다만 mac os x 에는 기본적으로 설치가 되어 있지 않아 brew 로 설치했습니다.

    > brew install ipcalc

[backtack] vmware에 백트랙 5.2 설치하기

1. 백트랙 ISO 이미지를 다운로드 합니다.
( 저는 현재 최신 버전인 5.2를 다운로드 하였습니다. )
http://www.backtrack-linux.org/downloads/


2. ISO 이미지를 통하여 vmware를 구동합니다.



3. # 으로 프롬프트가 떨어지면 startx 를 하여 GUI로 접속을 합니다.




4. GUI 접속 후 바탕화면에 install.sh를 실행하여 백트랙을 설치합니다.
( 설치방법은 일반적인 리눅스 설치환경과 비슷합니다. )



5. 언어 설정은 한국어로 합니다.



6. 시간대를 설정합니다.



7. 키보드 배치는  그냥 넘어갑니다.
( default 인 미국으로 설정 )



8. 파티션을 설정합니다. 저는 그냥 기본값으로 설정하였습니다.



9. 파티션 설정 시 나오는 메시지는 그냥 무시하고 이제 설치를 시작합니다.



10. 설치 진행화면



11. 정상적으로 설치가 되면 다음과 같은 완료창이 뜹니다.



12. 로그인을 합니다.
 ID : root
PW : toor


13. GUI 모드로 사용을 할 경우, startx 명령어를 통해 가능합니다.


# 기타

[PT] backtrack usb에 설치하기

[BackTrack SSH] 백트랙에서 SSH 활성화 하기


저작자 표시
신고

[BackTrack SSH] 백트랙에서 SSH 활성화 하기

처음 백트랙을 설치 후 원격에서 SSH 접속을 할 경우 접속이 안 되는 경우가 있습니다.
방화벽을 해제해도 마찬가지일 경우에...다음과 같이 하면 됩니다.

# 방법
1. apt-get install ssh     // ssh를 설치합니다.

2. sshd-generate     // key를 생성합니다.

3. /etc/init.d/ssh restart     // ssh 데몬을 재 시작합니다.


저작자 표시
신고

[PT] backtrack usb에 설치하기


1. sourceforge에서 unetbootin 파일을 다운로드 합니다.

unetbootin-windows-471.exe

http://unetbootin.sourceforge.net/


2. 다음과 같이 ISO 파일을 지정한 후 USB에 설치합니다.


^_^


저작자 표시
신고

+ Recent posts