kkamagi.story

Arp spoofing 해킹 기법과 보안 대책 - Arp cache poisoning - Arp poisoning routing(APR) * 발생원인 : arp 프로토콜 자체에 인증 절차가 없어서 시스템들이 arp 패킷이 전달되면 자신의 cache 엔트리에 등록하여 경로로 사용함 -엔트리에 등록된 IP와 MAC의 부정 여부는 묻지도 따지지도 않음. -엔트리(cache)에 등록되면 자기가 네트워크를 참조할 때 가장 먼저 참조를 하기 때문에 잘못된 경로로 패킷을 전달 할 수 있음. 영향 : sniffing - ID/PWD를 훔쳐보기 spoofing - 패킷 조작, => arp spoofing 이후에 dns spoofing 까지 공격하여 희생자가 접속하는 웹 사이트를 피싱사이트로 접속 유도나 조작할 수 있음...

/etc/rc.d/init.d/httpd restart 80 /etc/rc.d/init.d/sshd restart 22 /etc/rc.d/init.d/sendmail restart 25 rpm -qa xinetd cat /etc/xinetd.d/krb5-telnet /etc/rc.d/init.d/xinetd restart /etc/rc.d/init.d/vsftpd restart yum -y install wireshark yum -y install xinetd gnome 환경이 안올라와서 yum -y install wireshark* rpm -qa | grep wireshark wireshark & centos에서 서비스를 올려논 상태에서 bt5을 이용해서 공격하면서 공격받는 쪽에서 와이어 샤크로 공격패..

* 공격자 VM-XP & 희생자 VM-XP 부팅 * arp spoofing - arp cache poisoning - arp poison routing(APR) 발생원인: arp 프로토콜에 인증 매커니즘이 없어서 arp를 받은 시스템들은 자신의 arp cache엔트리에 자동등록하는 원인,등록하는IP와 MAC에대한 신뢰성 검증 못함. 영향: 도청(Active Sniffering) 패킷 조작(Filtering) - Downgrading, html injection 삽입(Injection) - Command Injection DoS/DDoS 성공률 : 로컬 100% 가까움. - 무선, 스마트폰에도 적용됨. 공격 툴: BT5 - arpspoof, ettercap 윈도우 - Cain & Abel * Cain&Ab..

admin$ 공유를 이용한 계정 탈취 특히 누구나 접근 가능한 everyone 으로 열린 admin$ 공유는 매우 위험한 요소. -> mimikatz를 이용한 admin$ 이 공유된 서버의 계정 탈취 테스트 1. 연결정보확인 >net user * /y delete \\xxx.xxx.xxx.xxx\admin$ 계속하면 연결이 취소됩니다. 명령을 잘 실행했습니다. >net use 새 연결 정보가 저장됩니다. 목록에 항목이 없습니다. 2. admin$ 공유를 net use 으로 마운트 >net use \\xxx.xxx.xxx.xxx\admin$ "pwd" /u:"user" 명령을 잘 실행했습니다. 3. 연결 정보 확인 >net use 새 연결 정보가 저장됩니다. 상태 로컬 원격 네트워크OK \\xxx.xxx...

*BT5, 분석자 VM 부팅 (ReverseEngineering 이미지) 분석자 - ostinato - sterm (www.oxid.it) : ipspoofing이나 arpspoofing 가능한 터미널 * IP Spoofing : 출발지 IP를 속여서 자신을 찾지 못하게 하는 공격기법이지만 자신도 reply 패킷을 받지 못함.=>arpReply(arp spoofing)하면서 IP spoofing을 하게되면 자신에게 패킷을 받을 수 있음. * Proxy 개념 : 자신의 IP를 대리자(Proxy)에게 연결시켜서 네트워크를 접속하는 개념. Proxy는 자신에게 패킷을 포워딩 시켜주는 개념.1) 일반적인 IP 패킷BT5 분석자#wireshark ostinato 2) spoofing IP 패킷#wireshark ..

Backtrack 1대 - XP 1대 준비 둘다 NAT 네트워크임, 인터넷 되는지 확인Ferret & Hamster : Sidejacking의 대표적인 툴실제 반드시 필요한것이 Arpspoofing -> 스니핑 하기 위해.(VMware에서는 안해도 된다.) IP Forwarding -> 희생자가 원래 목적지인 인터넷을 할 수 있게 끔 하기위해. 실제 이 두가지 공격이 선행되어져야함!# cd /pentest/sniffers/hamster # ./ferret -i eth0 //0번으로 들어오는 패킷 수집 -> 그중에서 http로 들어오는 것을 빼내는 것. 다른 터미널을 띄워서 # cd /pentest/sniffers/hamster # ./hamster - 다른 클라이언트에서 인터넷 서핑 및 로그인 시도 백트..

= Hash Function = One Way Function = Hash Algorithm =무결성을 확인하기 위한 것 MD5(Message-Digest algorithm 5)는 128비트 암호화 해시 함수이다. RFC 1321로 지정되어 있으며, 주로 프로그램이나 파일이 원본 그대로인지를 확인하는 무결성 검사 등에 사용된다. 1991년에 로널드 라이베스트가 예전에 쓰이던 MD4를 대체하기 위해 고안했다. 1996년에 MD5의 설계상 결함이 발견되었다. 이것은 매우 치명적인 결함은 아니었지만, 암호학자들은 해시 용도로 SHA-1와 같이 다른 안전한 알고리즘을 사용할 것을 권장하기 시작했다. 2004년에는 더욱 심한 암호화 결함이 발견되었고. 2006년에는 노트북 컴퓨터 한 대의 계산 능력으로 1분 내에..

윈도우 서버 허용하지 않은 ip 또는 원격지에서 원격접속 해 있을 때 해당 세션이 보이지 않는 경우 netstat -ant | findstr 3389 -> 특정 ip에서 3389포트로 붙어있는 것이 확인 되었으나, 작업관리자에서 세션이 보이지 않을 때. PC Hunter 실행 -> network -> 우클릭 -> file tab -> 현재 해당 세션에서 열고 있는 파일목록 출력 -> 그중 하나를 임의의 폴더에 복사-> bintext.exe로 해당 파일 열기-> ip 목록 출력.-> 해외 ip 로 확인 -> 차단 조치.

[BackTrack SSH] 백트랙에서 SSH 활성화 하기 처음 백트랙을 설치 후 원격에서 SSH 접속을 할 경우 접속이 안 되는 경우가 있습니다. 방화벽을 해제해도 마찬가지일 경우에...다음과 같이 하면 됩니다. # 방법 1. apt-get install ssh // ssh를 설치합니다. 2. sshd-generate // key를 생성합니다. 3. /etc/init.d/ssh restart // ssh 데몬을 재 시작합니다.

안녕하세요. The Grit입니다. 본 포스팅에서는 Windows server 시스템 보안 파트에서 Active Directory에 대해 알아보도록 하겠습니다. 예전 네이버 블로그에 올렸던 내용을 참고한 내용이라 일부 누락된 부분이 있습니다. 1. Active Directory service 2. Workgroup, domain 네트워크 보안 접근의 차이점 3. GPO를 이용한 보안 설정 4. WEB 서비스 ( IIS ) 가 올라가져있는 상태에서 => 인증서버 연동 ( 보안 사이트 구성 ) 5. FTP 보안 Active Directory -> 인증서비스, 계정서비스 MS - Workgroup - 단순히 컴퓨터가 연결되어있는경우 -> Stand alone (1) 사용자 계정, 암호를 똑같이 만든다. (2)..