구텐모르겐 AmeriKa

여기서는 NeXpose, Nessus, OpenVAS 그리고 직접 스캔을 통한 취약점을 찾아서 해당툴을 Metasploit에서 이용하는 법을 알아보겠다.

Banner Grabbing

상대방에게 노출되지 않고 간단하게 취약점을 간단히 찾는 방법이 있다.

root@bt:/opt/framework3/msf3# nc 192.168.1.203 80 GET HTTP 1/1 HTTP/1.1 400 Bad Request Server: Microsoft-IIS/5.1

위의 결과물에서 웹서버를 Microsoft-IIS/5.1을 사용함을 알 수 있다. 현재 버전 7이 사용되므로 많은 취약점을 찾을 수 있을 것이다.

이보다 좀 더 전문적이고 네트워크의 스캔이 가능한 방법이 있는데 가장 많이 사용되는 툴로는 NeXpose와 Nessus가 있겠다. 두 프로그램 모두 무료 버전이 있고 개인용으로는 사용가능하지만 기업용은 정품을 구매해야 한다. 

NeXpose

<a href="http://www.rapid7.com/vulnerability-scanner.jsp" target="_blank"> http://www.rapid7.com/vulnerability-scanner.jsp</a>에서 다운가능하고 설치에 어려움은 없으리라 본다.

NeXpose의 기본포트는 3780이고 https://localhost:3789 로 접근하면 된다. 그런 후 New Site를 생성후 원하는 네트워크대를 192.168.1.0/24와 같은 형식으로 해서 스캔해주면 된다. 여기서 NeXpose를 다룰수는 없으므로 자세한 사항은 해당 웹사이트에서 정보를 얻기를 바래요.

스캔된 결과물을 xml로 변환해서 저장해주길 바란다.

자 이제 다시 Metasploit 콘솔로 가보자. 콘솔에서 아래와 같이 데이터 베이스에 연결을 해보자.

msf > db_connect postgres:toor@127.0.0.1/msf3 msf > db_import /tmp/host_195.xml [*] Importing 'NeXpose Simple XML' data [*] Importing host 192.168.1.195 [*] Successfully imported /tmp/host_195.xml msf > db_hosts -c address,svcs,vulns Hosts ===== address Svcs Vulns Workspace ------- ---- ----- --------- 192.168.1.195 8 268

MSFconsole에서 Nmap 돌리기

msfbook 데이타베이스로 연결을 알아보겠다.

msf > db_connect postgres:toor@127.0.0.1/msf3

msfconsole에서 db_nmap 명령을 통해서 nmap을 사용할 수 있다.

msf > db_nmap -sS -A 172.16.32.131
Warning: Traceroute does not support idle or connect scan, disabling...
Nmap scan report for 172.16.32.131
Host is up (0.00056s latency).
Not shown: 990 closed ports
PORT STATE SERVICE VERSION
21/tcp ..open ftp Microsoft ftpd
25/tcp open smtp Microsoft ESMTP 6.0.2600.2180 ..
80/tcp open http Microsoft IIS webserver 5.1
|_html-title:
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn
443/tcp open https?
445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds
1025/tcp open msrpc Microsoft Windows RPC
1433/tcp open ms-sql-s Microsoft SQL Server 2005 9.00.1399; RTM
3389/tcp open microsoft-rdp Microsoft Terminal Service
MAC Address: 00:0C:29:EA:26:7C (VMware)
Device type: general purpose
Running: Microsoft Windows XP|2003 ..
OS details: Microsoft Windows XP Professional SP2 or Windows Server 2003
Network Distance: 1 hop
Service Info: Host: ihazsecurity; OS: Windows
Host script results:
|_nbstat: NetBIOS name: IHAZSECURITY, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:ea:26:7c
| smb-os-discovery:
| OS: Windows XP (Windows 2000 LAN Manager)
| Name: WORKGROUP\IHAZSECURITY
|_smbv2-enabled: Server doesn't support SMBv2 protocol
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/.
Nmap done: 1 IP address (1 host up) scanned in 33.51 seconds

이런 스캔을 통해서 db_services를 통해서 데이타베이스에 저장된 스캔결과값을 알 수 있다.

msf > db_services
Services
========
host port proto name state info
---- ---- ----- ---- ----- ----
172.16.32.131 135 tcp msrpc open Microsoft Windows RPC
172.16.32.131 139 tcp netbios-ssn open
172.16.32.131 445 tcp microsoft-ds open Microsoft Windows XP microsoft-ds
172.16.32.131 777 tcp unknown open
172.16.32.131 1433 tcp ms-sql-s open Microsoft SQL Server 2005 9.00.1399; RTM

Metasploit를 이용한 포트 스캔

Nmap의 스캐닝 기능뿐만 아니라 Metasploit에 관한 포트스캐너에 대해도 알아보겠다. 이 스캐닝 기능을 통해서 타겟 호스트의 접근과 공격등 다양한 방법을 제시한다.

msf > search portscan

프토스캔의 리스트를 통해 scanner/portscan/syn에서 192.168.1.155을 스캔해보겠다.

msf > use scanner/portscan/syn
msf auxiliary(syn) > set RHOSTS 192.168.1.155
RHOSTS => 192.168.1.155
msf auxiliary(syn) > set THREADS 50
THREADS => 50
26 Chapter 3
msf auxiliary(syn) > run
 [*] TCP OPEN 192.168.1.155:135
[*] TCP OPEN 192.168.1.155:139
[*] TCP OPEN 192.168.1.155:445
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf auxiliary(syn) >msf > use scanner/portscan/syn
msf auxiliary(syn) > set RHOSTS 192.168.1.155
RHOSTS => 192.168.1.155
msf auxiliary(syn) > set THREADS 50
THREADS => 50
26 Chapter 3
msf auxiliary(syn) > run
[*] TCP OPEN 192.168.1.155:135
[*] TCP OPEN 192.168.1.155:139
[*] TCP OPEN 192.168.1.155:445
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf auxiliary(syn) >

135, 139 그리고 445의 포트가 열려있음을 볼 수 있다.

Metasploit를 이용한 스캔

앞에서 여러번 언급했던 nmap을 이용한 방법이 가장 보편적인 능동적 정보수집의 방법이라 할 수 있다. 하지만 여기서는 metasploit를 이용한 좀 더 공격적인 스캔법에 대해 알아 보겠다.

우선 데이타베이스를 사용해야 하는데 여기서는 postgresql을 이용하겠다. 아래와 같이 postgresql을 실행해보겠다.

root@bt~# /etc/init.d/postgresql-8.3 start

실행후 metasploit의 Framework을 데이타베이스에 연결한다. metasploit가 설치될때 postgresql이 postgres/toor의 계정으로 설치되어 있다.

msf > db_connect postgres:toor@127.0.0.1/msfbook

postgres를 아이디로, toor를 패스워드로, 그리고 msfbook를 데이타베이스로 하여 연결하였다. 현재의 연결을 확인하려면 db_status를 타입해보면 알 수 있다.

Nmap의 데이타를 Metasploit로 입력

nmap이나 기타 다른 스캐닝툴을 이용한 결과물들을 metasploit를 통해 입력가능한데 nmap에서는 -oX라는 명령어로 결과값을 xml로 출력 가능하다.

nmap -Pn -sS -A -oX Subnet1 192.168.1.0/24

이렇게 출력된 값을 이용해서 metasploit로 입력해보겠다.

msf > db_connect postgres:toor@127.0.0.1/msf3
msf > db_import Subnet1.xml
msf > db_hosts -c address
Hosts
=====
address
-------
192.168.1.1
192.168.1.10
192.168.1.101
192.168.1.102
192.168.1.109
192.168.1.116
192.168.1.142
192.168.1.152
192.168.1.154
192.168.1.171
192.168.1.155
192.168.1.174
192.168.1.180
192.168.1.181
192.168.1.2
192.168.1.99
msf >

Nmap을 이용한 다양한 스캔방법: TCP Idle Scan

TCP Idle scan은 비활성화된 타겟 호스트의 IPID를 알아내는 방법으로 연속되는 통신에서 다음의 IPID값을 알아냄으로 차후에 추가적인 활동을 가능하게 해준다.



msf > use auxiliary/scanner/ip/ipidseq
msf auxiliary(ipidseq) > show options
Module options:
Name Current Setting Required Description
---- --------------- -------- -----------
GWHOST no The gateway IP address
INTERFACE no The name of the interface
LHOST no The local IP address
1. RHOSTS yes The target address range or CIDR identifier
RPORT 80 yes The target port
SNAPLEN 65535 yes The number of bytes to capture
2. THREADS 1 yes The number of concurrent threads
TIMEOUT 500 yes The reply read timeout in milliseconds

위의 나열된 스캐너들은 ipid값을 알아내는 옵션들이다. 1번의 RHOSTS는 CIDR의 스캔등 타겟호스트의 네트워크의 범위를 정해줄때 사용되는 옵션이고 2에서의 THREADS값은 수치를 높일수록 PCU점유율이 높아진다. 디폴트는 1이고 여기서는 50을 줘 보겠다.

msf auxiliary(ipidseq) > set RHOSTS 192.168.1.0/24
RHOSTS => 192.168.1.0/24
msf auxiliary(ipidseq) > set THREADS 50
THREADS => 50
msf auxiliary(ipidseq) > run
[*] 192.168.1.1's IPID sequence class: All zeros
[*] 192.168.1.10's IPID sequence class: Incremental!
[*] Scanned 030 of 256 hosts (011% complete)
[*] 192.168.1.116's IPID sequence class: All zeros
1. [*] 192.168.1.109's IPID sequence class: Incremental!
[*] Scanned 128 of 256 hosts (050% complete)
[*] 192.168.1.154's IPID sequence class: Incremental!
[*] 192.168.1.155's IPID sequence class: Incremental!
[*] Scanned 155 of 256 hosts (060% complete)
[*] 192.168.1.180's IPID sequence class: All zeros
[*] 192.168.1.181's IPID sequence class: Incremental!
[*] 192.168.1.185's IPID sequence class: All zeros
[*] 192.168.1.184's IPID sequence class: Randomized
[*] Scanned 232 of 256 hosts (090% complete)
[*] Scanned 256 of 256 hosts (100% complete)
[*] Auxiliary module execution completed
msf auxiliary(ipidseq) >

Incremental을 보이는 호스트는 우리가 보낸 스캔값에 1을 추가한 값을 응답으로 보내온 호스트들이다. 다음에는 1번의 192.168.1.109를 통해 192.168.1.155를 좀 더 자세히 스캔해보겠다.

msf auxiliary(ipidseq) > nmap -PN -sI 192.168.1.109 192.168.1.155
[*] exec: nmap -PN -sI 192.168.1.109 192.168.1.155
Idle scan using zombie 192.168.1.109 (192.168.1.109:80); Class: Incremental
Interesting ports on 192.168.1.155:
Not shown: 996 closed|filtered ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
MAC Address: 00:0C:29:E4:59:7C (VMware)
Nmap done: 1 IP address (1 host up) scanned in 7.12 seconds
msf auxiliary(ipidseq) >

다음과 같이 능동적 정보 수집이지만 192.168.1.109라는 좀비피씨를 이용해서 타겟 호스트를 스캔하여 보았다.

내일은 이 192.168.1.109를 좀더 후벼보도록 하겠다.

프록시(proxy)서버를 쓰지 않는 상황에서 타겟 호스트의 네트워크 스캔은 적에게 나의 정보를 노출시키게 되는 단점이 있다. 가급적 공격자의 정보를 노출시키지 않는 스캔법을 Passive Information Gathering이라고 표현하는데 '수동적 정보 수집' 정도로 표현되겠다.

whois Lookup

whois를 통해서 타겟 호스트의 기본적인 정보를 얻을 수 있고 때때론 이메일이나 전화번호도 얻을 수 있다.

msf > whois secmaniac.net
[*] exec: whois secmaniac.net
. . . SNIP . . .
Intelligence Gathering 17
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: SECMANIAC.NET
Created on: 03-Feb-10
Expires on: 03-Feb-12
Last Updated on: 03-Feb-10
Domain servers in listed order:
NS57.DOMAINCONTROL.COM
NS58.DOMAINCONTROL.COM

위에서 보듯이 godaddy.com에서 서비스 하고 DNS server는 comaincontrol.com이다. 그러므로 secmaniac.net은 서버를 가지고 있지 않은 호스트므로 공격대상에서 제외한다.


Nslookup

nslookup명령어를 통해 다음과 같은 정보를 얻을 수 있다.

root@bt:~# nslookup
set type=mx
> secmaniac.net
Server: 172.16.32.2
Address: 172.16.32.2#53
Non-authoritative answer:
secmaniac.net mail exchanger = 10 mailstore1.secureserver.net.
secmaniac.net mail exchanger = 0 smtp.secureserver.net.

set type=mx는 secmaniac.net의 메일서버를 묻는 명령어로써 secureserver.net이 타겟 호스트의 메일 서버임을 알 수 있다. secureserver.net은 웹호스팅 서버이므로 추가적인 스캔은 무의미하다.

Metasploit의 세가지 중요한 툴들을 알아봤다면 이제는 기능들에 대해 알아보겠다. 이 기능들은 Metasploit에 있는 기능들로써 특히 특정한 공격을 행할때 중요하게 사용된다.

MSFpayload: msfpayload기능은 shellcode를 Framework없이도 실행가능하게 만들어주는 기능을 한다. 이는 C, Ruby, JavaScript, Visual Basic과 같은 형태로 생성 가능하다. 가령 Python으로 작업중이라면 C언어형태로의 실행이 가능하고 웹에서 사용한다면 JavaScript의 형태가 가장 적당할 것이다. msfpayload -h를 통해서 기능들을 알 수 있다.

root@bt:/# msfpayload -h

msfcli와 같이 추가기능에 대해 알고자 하면 옵션 O를 넣어주면 된다.

root@bt:/# msfpayload windows/shell_reverse_tcp O

MSFencode: msfpayload로 생성된 shellcode는 다양한 환경에서 사용가능 하지만 null 캐릭터가 있을시 즉, x00s나 xffs가 있을 시에는 프로그램이 강제로 종료된다. 또한 이러한 shellcode는 IDS에 의해 쉽게 탐지되고 네트워크의 접근이 거부되어진다. 그래서 제안된게 msfencode이고 이 유틸이 그러한 코드들을 수정해준다. msfencode의 리스트를 보려면 옵션 l을 붙여주면 된다.

root@bt:~# msfencode -l

Nasm Shell: nasm_shell.rb는 어셈블리어를 사용할때 유용하고 각 코드를 알고자 할때 사용된다. 즉 jmp esp에 대한 내용을 알고자 할때 다음과 같이 사용된다.

root@bt:/opt/framework3/msf3/tools# ./nasm_shell.rb
nasm > jmp esp
00000000 FFE4
jmp esp

Metasploit는 타겟호스트의 취약점을 알아내고 그 해당 취약점에 대한 침투방법을 제공하는 프로그램이다. Metasploit는 너무 방대해서 얼마나 많은 강좌가 이뤄질지 알 수 없지만 아마도 30일정도는 Metasploit에 대해서만 얘기할 거 같다. 오늘은 Metasploit에서 쓰이는 용어를 정리해 보겠다.

Exploit: 공격자에 의해 행해지는 방법으로 시스템이나 어플리케이션, 서비스등의 결점을 이용하여 공격하여 개발자가 의도치 않았던 목적을 달성하는데 있다. 기본적으로 buffer overflow, web application 취약점분석, SQL injection 등의 공격을 들 수 있다.

Payload: 소스코드로써 시스템에 실행시켜서 원하는 결과를 얻어낼 수 있다. 예를 들어 reverse shell은 payload중의 하나로 윈도우 시스템과 연결을 시켜주는 코드이고 bind shell은 타겟 호스트의 포트를 리스닝모드로 만들어 공격자가 연결할 수 있게 해준다. Payload는 타겟 호스트에 간단한 몇개의 컴멘드만으로도 구성이 가능하다.



Shellcode: 공격이 행해질때 payload에 의해 사용되어지는 툴의 집합정도로 보면 된다. 어셈블리 언어로 만들어지며 대부분 commend shell이나 Meterpreter shell같은 코드들이 타겟호스트에 의해 실행되어진다.

Module: 이는 Metasploit Framework에서 쓰여지는 작은 프로그램이라고 보면 된다. exploit module이나 auxiliary module과 같은 형태로 사용되어지며 이러한 자그마한 툴들이 모여서 Metasploit를 강력하게 만든다.

Listener: Metasploit에서 사용되어지는 컴퍼넌트로 연결을 기다리는 역할을 한다. 예를 들어 타겟호스트가 공격에 노출되었을 때 공격자가 연결을 할 수 있게 도와주는 컴퍼넌트이다.

다음에는 Metasploit Framework의 구성요소에 대해 알아보겠다.

Zenmap의 rpm버전은 http://nmap.org/dist/zenmap-5.61TEST2-1.noarch.rpm에서 다운가능하다. 윈도우버전도 http://www.softpedia.com/get/Network-Tools/Network-Monitoring/Zenmap.shtml에서 다운받을 수 있다

설명

Zenmap은 Nmap의 그래픽버전으로 다양한 플랫폼에서 사용가능하다. 이는 Nmap보다 초보자들이 좀 더 사용하기 쉽게 했을뿐만 아니라 고급기술까지 손쉽게 사용할 수 있게 해놓았다. 개인적으로 Zenmap을 안 후에는 AngryIP를 더이상 사용하지 않게 되었다. 여기서 Zenmap과 Nmap을 좀 더 손쉽게 사용할 수 있는법에 대해 설명해 보겠다.

그래픽 버젼의 Nmap의 필요성

어떠한 것이라도 command line의 창조적인 작업보다 나을 수 없고 Zenmap이 Nmap을 대체할 수는 없다. 하지만 Zenmap을 통해 Nmap으로 할 수 없는 것들이 있는데 이는다음과 같다.

다양한 그래픽을 이용한 결과물

Nmap에서는 일반적인 평범한 결과물을 보여준다면, Zenmap은 호스트별 그리고 서비스별 결과물을 정리해서 나열해 준다. 이것은 하나의 호스트에 대한 정보를 보여줄 뿐만 아니라 하나의 네트워크의 모든 호스트에 대한 정리도 간편하게 표현해준다. 또한 네트워크맵 (topology map) 을 만들어 줄뿐 아니라 이를 하나의 스크린에 요약되서 보여준다.

비교성

Zenmap은 두가지의 스캔의 결과물에 대한 비교가 가능하다. 그러므로 며칠전과의 결과물 비교를 통해 어떻게 변화되었는지를 결과물을 통해 알 수 있다.

편리성

Zenmap은 당신의 스캔결과물들을 손쉽게 볼 수 있고 좀 더 다양한 방법의 스캔의 방법연구에 도움을 줄 것이다.

발견성

Nmap은 수백개의 옵션이 있고 이는 초보자에게는 알기 쉽지 않지만 Zenmap은 명령어들이 손쉽게 나열되어 있어 초보자도 손쉽게 쿼리를 만들수 있다.

Zenmap을 실행하게 되면 다음과 같은 화면이 나온다.
 


Zenmap의 목표는 초보자도 손쉽게 스캔하기 위하는데 있고 사용자는 타겟의 주소와 'intense scan'을 할지 아니면 다른 스캔을 할지만 정해주면 된다.



스캔이 끝나면 오른쪽화면에 그 결과물이 출력된다. 타겟은 192.168.0.0/24와 같이 네트워크를 설정해 줄 수도 있고 10.0.0-5.*와 같이 범위값을 줄수도 있다.

아래의 결과물에서와 같이 포트 25만 빼고 다른 포트들이 열려있음을 알 수 있다. 이는 포트 25는 filtered된 것을 쉽게 알 수 있다.
 

결과탭에는 Nmap Output, Ports/Hosts, Topology, Host Details, Scans가 있는데 여기서는 Nmap Output에 대해서만 알아보겠다.



위에서 포트 22의 tcp가 열려있음을 알 수 있고 이는 ssh서비스에 대해 열려있고 버전은 OpenSSH 4.3으로 되어 있음을 알 수 있다. 이제 Metasploit를 이용하여 OpenSSH의 취약점을 찾아서 공격하면 된다.

네이버에서의 해킹의 정의는 '컴퓨터 네트워크의 취약한 보안망에 불법적으로 접근하거나 정보 시스템에 유해한 영향을 끼치는 행위'로 규정하였고, 위키피디아에서는 해커의 개념을 '이득, 저항 또는 도전 등의 이유로 컴퓨터나 컴퓨터 시스템을 파괴하는 행위'로 말하고 있다. 두 거대 백과사전은 해킹에 대해 꽤 부정적 의미를 포함하고 있다.

하지만 원래 해킹에는 악의적인 의미가 없고, 정작 상대방의 시스템에 위해를 가하는 사람들은 cracker라고 부르고, 엘리트하고 우아하게 상대의 시스템을 유린하는 사람들을 해커라 부른다, 라고 주장하고 싶다. 여기서 쓰고자 하는 것도 상대(?), 목표물(?) 혹은 호기심의 대상의 시스템의 취약점을 찾는걸 다루지, SQL Injection이나 CSS (Cross Site Scripting) 같은 내용은 다루지 않으려고 한다. 위와 같은 내용을 공부하고 싶다면 유투브에 널린게 해킹 기술이니 거기서 습득해도 어리버리한 시스템들은 쉽게 낚아서 본인이 script kiddy임을 증명할 수는 있을 것이다.

해킹은 탐색 (Reconnaissance), 스캔 (Scanning), 침입 (Gaining Access), 접속유지 (Maintaining Access), 사후처리 (Covering Tracks)로 EC-Council에서 구분하고 있다.

탐색은 Nmap, hping, ping 등과 같은 툴로 손쉽게 이루어 질 수 있고 합법이다. (#hping 을 통해 5만비트의 데이타를 연속적으로 보내는 것은 불법이다.)

스캔은 Nessus, OpenVAS 등등이 있다. (불법은 아니지만 본인의 결백을 주장할 증거정도는 필요하겠죠 ex. NDA)

침입은 MetaSploit이 가장 많이 쓰이는 툴이다. (남의 네트워크 침입은 악의적이든 아니든 범죄에 속한다. 그리고 생각보다 우리의 통신내용은 구글신께서 다 감청당하고 있으니 클라이언트가 원하면 당신은 의외로 쉽게 잡힌다.)

접속유지는 컴맨드를 통해서 이루어지므로 딱히 툴이라고 볼게 없고, 사후처리도 알아서 지나갔던 자리 지우고 나오면 되는 거다.

앞으로 적어볼 내용들은 각 툳들의 사용법을 알아보면서 그러한 것들을 어떻게 방어하는지 Snort를 통해 보도록 하겠다.

참고1. BackTrack이라는 라이브DVD가 있다. 모든 보안이나 해킹에 관심있는 사람이라면 꼭 깔아봐야하는 OS이니 지금 읽고 계신 분들도 꼭 깔아서 설치해보기 바란다.

참고2. NDA (Nondisclosure Agreement)를 클라이언트와 작성하고 해킹하는게 법적인 분쟁을 피하는 가장 정석이다.