메타스플로잇 이용한 FTP 익명연결 공격과 와이어샤크 패킷 분석
$ msfconsolemsfconsole 으로 메타스플로잇에 접속한다.
use auxilary/scanner/ftp/접속 후, 위 명령어를 입력한 상태에서 tap tap을 누르면,
ftp와 관련된 여러 모듈들을 확인할 수 있다.
어플리케이션 기반으로 되어있는, 특정한 ftp 서비스에 취약점이 있는 경우 볼 수 있는 모듈들이다.
anonymous를 사용해 익명 연결이 되는지 살펴보자.
먼저 옵션을 보자.
FTPPASS와 비슷한 패턴들이 있을 때, 메타스플로잇을 사용하여 대량으로 공격을 하는 형태라는 것을 알 수 있다.
FTPUSER에서 anonymous가 허용이 되어있으면 익명 연결이 허용이 되는데, 현재는 no로 되어있다.
RHOSTS를 CIDR 형식으로 설정해서 0~255까지 검사를 할 수 있도록 세팅해줘도 되고,
setg로 세팅해서 글로벌적으로 설정해도 된다.
버전정보도 확인하고 싶다면, 위 명령어를 사용할 수 있다.
이후, show options 를 입력하여 확인할 수 있다.
+) 참고
공격을 하고 난 뒤, 결과값이 잘 보이지 않을 때 verbose를 true로 설정해주고
실행하면 된다.
FTP 익명 연결 공격 패킷을 분석해보자.
프로토콜 계층을 살펴보니, FTP는 실질적으로 많은 비율이 찍혀있지 않은 것을 확인할 수 있었다.
따라서 프로토콜 계층을 보면 어떤 공격을 사용했는지가 굉장히 애매하다.
하지만 FTP가 있으니 의심은 해봐야 한다.
Conversation에서 포트 정보를 보면 21번으로 접근을 하고 있구나를 알 수 있다.
열려있는 것은 2갠데 접근된 페이지는 굉장히 많아서 공격의 성공 여부를 알기가 애매하다.
하지만 패킷 바이트가 많은 것을 보아 4~6번째가 의심이 된다고 추측할 수 있다.
+ 많은 곳을 봤기 때문에 스캐닝을 했다고 추측 가능하다.
FTP 성공 여부를 살펴보기 위해 필터링을 해준다.
패킷은 순서대로 나오기 때문에 오른쪽에 해석된 정보들만 봐도 어느정도 판단이 된다.
MKD는 메타스플로잇의 특징이다.
메타스플로잇은 특정한 폴더들을 생성하고, 폴더명도 랜덤으로 만든다. 그 후, 자기가 생성한 것을 삭제한다.
MKD 밑 패킷을 보면 실패한 것을 알 수 있다.
=> 권한이 없기 때문이다. 디렉토리를 생성하는 것 만큼 권한이 생성된 것은 아님.
148번으로 로그인을 했고, 로그인이 정상적으로 성공했다.
bee-box에서는 MKD에서 권한이 주어져 성공했다.
디렉토리가 success 했기 때문에, RMD로 생성한 것을 지운다.
Statics > Flow Graph에서 Limit to display filter를 체크하면 ftp만 나온다.
여기서 FTP Flow를 이용해서 주고 받는 것들을 바로바로 확인할 수 있어 분석하기가 더 수월하다.
Tools > Credentials 에서는 패킷 정보 안에 중요한 정보(ex. 계정정보)들이 있는지 판단한다.
이걸 활용해서 user 정보들을 한 눈에 볼 수 있다.