mysql 데이터베이스 해킹 흔적 패킷 분석

metasploit으로 접속해 mysql을 검색해보면 mysql과 관련된 모듈들과 부가적인 모듈들을 확인할 수 있다.

 

이 중에 scanner를 사용해보자

 

사용해보면 조사할 수 있는 정보들이 나온다.

 

이 중 version을 입력하면

위와 같이 버전 정보를 확인할 수 있다.

 

RHOSTS를 세팅해 타겟을 정해준다.

*RHOSTS는 단일 옵션으로 지정하는 것

 

이 때, setg 옵션을 사용하면 global적으로 사용할 수도 있다.

 

이제 공격을 해보자.

run 명령을 입력해보면 버전 정보가 노출되어 있는 것을 알 수 있다.

=> 취약점

 

---

패킷을 분석해보자

 

프로토콜 계층을 살펴보면 mysql 패킷임을 확인할 수 있다.

(현재는 우리가 캡쳐한 패킷이라 mysql이 뭔지 알지만 아무것도 모르는 상태에서는 프로토콜부터 살펴봐야한다고 함)

 

conversations를 보니 192.168.130.176에서 3306(mysql 기본 포트)으로 전송된 것이 많은 것을 알 수 있다.

bytes가 큰 것이 공격을 성공한 경우라고 볼 수 있다. (ex. 1060, 2161)

 

mysql을 필터링하면 mysql과 관련된 정보들만 확인할 수 있다.

 

패킷을 살펴보면 mysql의 버전 정보도 확인할 수 있음

(패킷의 TCP Stream을 통해 버전 정보를 확인하는 방법도 있음)

 

버전 정보만 필터링하는 방법도 있다.

많은 프로토콜이 있을 때, 버전 정보가 노출된 것이 있는지 또는 공격자가 성공적으로 버전 정보를 가져간 것이 있는지 확인할 때 사용하는 옵션 중 하나이다.

 

mysql.query 필터링을 통해 mysql의 추가적인 기능을 확인할 수 있다.

query는 정보를 가져올 때 발생한다.

 

TCP Stream을 살펴보면 어떤 정보를 가져왔는지 확인해 볼 수 있다.

password없이 root로 실행이 됐고, 버전 정보, root와 guest 정보들까지 접근했음을 확인할 수 있다.

 

 

 

 

 

 

 

 

 

 

참고 강의

https://www.inflearn.com/course/wireshark_boanproject#reviews

[무료] IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전 - 인프런 | 강의