메타스플로잇 프로를 이용한 네트워크 패킷 분석

계층적 프로토콜을 살펴보자

Remote Procedure Call : 접근 권한이 있는 사용자들에게 서비스 정보들을 줌. (현재 동작되고 있는 프로세스, mount된 서비스 등)

 

공격자들은 보통 SMB 취약점이 있다면 Windows Browser Protocol에 공격을 넣는다.

 

TCP 정보들은 이런게 나와있음

 

HTTP에 관련된 것들은 크게 많지 않음.

메타스플로잇 프로 버전에서는 웹 스캔이 들어가지 않는다는 것을 알 수 있다.

 

진단 과정들이 분류되어있다는 말임

 

 

Credentials를 살펴보면

아무것도 뜨지 않는다.

 

Protocol Hierachy에서 Telnet > Apply at Filter > Selected를 누르면,

 

Telnet에 관련된 정보들을 확인할 수 있다.

 

TCP Stream을 살펴보니 로그인이 성공한 것은 아니고, 응답 정보가 찍힌 것을 볼 수 있다.

 

SSH 프로토콜의 Selected도 확인해보면,

 

깨끗한 것을 볼 수 있다.

만약 brute force 공격이 이뤄졌다면, 아래쪽(빨간 박스 부분)에 테스트한 패킷들이 뜰텐데, 깨끗하다.

 

MySQL도 살펴보면 별도로 공격을 시도한 것은 보이지 않는다.

 

FTP를 살펴보면, 접근은 시도했지만 OOPS:라고 뜨는 것을 보아 성공하진 않았음을 알 수 있다.

 

---

참고) Nesus와 Metasploit Pro의 다른 점

• Nesus가 Metasploit보다 한 단계 더 들어감  (ex.익명 연결이 된다면, 익명 연결을 해서 그 안에 있는 정보까지 확인해봄)

---

자바 관련한 것들도 살펴보면, 상당히 많은 패킷들을 주고 받았음을 알 수 있다.

=> 취약점이 나왔기 때문에 이런 현상들이 나온거임

 

실질적으로 공격 코드를 실행한 것도 확인할 수 있다.

 

 Metasploit에서도 확인할 수 있다.

---

Wireshark에서 확인할 수 없었던 Credential을 NetworkMiner에서 살펴보자.

Credentials을 눌러서 보면, 

 

SNMP가 public으로 되어있는 것을 볼 수 있다.

=> 누구나 접근해서 정보를 확인할 수 있음

 

 

 

 

참고 강의

https://www.inflearn.com/course/wireshark_boanproject#curriculum

[무료] IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전 - 인프런 | 강의