웹 취약점 진단 WPScan 패킷 분석

WPScan

: 워드프레스 취약점을 찾는 자동화 도구

 

 

Wireshark를 통해 패킷을 분석해보자.

프로토콜을 먼저 살펴보면, HTTP 환경이 대부분이다.

특히, Line-based text data가 많이 차지를 하고 있다. 이는 웹사이트 브라우저에 많은 정보들이 남을텐데, 그 response 값이 남게 되는 것이다.

Media Type은 사진 파일 정보들에 관한 것이다.

 

Conversations을 살펴보면,

80포트가 서버일 것이라고 추측이 되고, 166번이 공격자일 것이라고 추측이 된다.

 

HTTP 의 Packet Counter를 살펴보면

404 오류가 많이 발생한 것을 알 수 있다.

이를 통해 스캐너임을 추측할 수 있다.

 

Requests도 살펴보자.

이 페이지는 존재하기 때문에 js파일, images 파일들에 대해 확인할 수 있는 것이다.

즉, 이 페이지가 설치되어 있다는 것을 알 수 있다.

공격자가 pulgin 정보들도 확인을 했다는 것을 볼 수 있다.

 

Requests에서 User 정보도 확인할 수 있다.

 

얻은 User 정보를 url에 입력하면, 

icssystem으로 접근할 수 있다.

이를 통해서 Requests에 나와있는 사용자들이 존재하는지를 확인해 볼 수 있다.

 

login.php에 접근한 패킷에서 오른쪽 마우스>Follow>TCP Stream으로 이동해서 확인을 해보자.

 

여기서 사용자 정보도 확인해볼 수 있다.

login.php 파일에 있는 log정보들을 확인할 수 있었다.

 

User-Agent 정보에서 wpscan이라는 힌트를 얻을 수 있었다.

 

 

 

참고 강의

https://www.inflearn.com/course/wireshark_boanproject#curriculum

[무료] IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전 - 인프런 | 강의