[메타스플로잇]Metasploit_MySQL, tikiwiki

 

 

 

 

메타스플로잇(Metasploit)

 

 

1. 메타스플로잇(MSF(Metasploit, Meta Exploit Framework))

04_Metaspolit.hwp

 

Metaspolit이란 오픈소스 여러가지 도구를 제공한다.

취약성 점검 부터 공격까지 여러가지 도구를 보유한 통합 프레임워크(기반시설)

광범위한 영역의 정보 탐색, 공격, 사전 침투에 관련된 보안 툴의 설계와 개발 능력제공

 

특징으로는

-공개된 공격 코드 정리/검증으로 시간 단축

-여러 플랫폼에서 사용가능(Unix/Linux,Windows,MAC환경 지원)

-취약점 빠르게 최신화

-취약점에 대한 쉘코드 제공

단 무료 버전인 커뮤니티 버전은 웹방식 툴이 약하다.

 

 

 

커뮤니티 웹서비스 접근하기(PostgreSQL)

 

(칼리리눅스)

# netstat -antp | grep :5432 확인 (port 5432 : PostgreSQL 포트)

# service postgresql start    기동 (사용할때 마다 데몬을 올려주어야 한다.)

# service postgresql status  확인

 

# msfdb

 Manage a metasploit framework database

 

  msfdb init    # initialize the database
  msfdb reinit  # delete and reinitialize the database
  msfdb delete  # delete database and stop using it
  msfdb start   # start the database
  msfdb stop    # stop the database

 

# msfdb init (초기화)

Creating database user 'msf'
Enter password for new role: (새 롤의 암호)
Enter it again: (암호 확인)
Creating databases 'msf' and 'msf_test'
Creating configuration file in /usr/share/metasploit-framework/config/database.yml
Creating initial database schema

 

# cat /usr/share/metasploit-framework/config/database.yml (결과)

development:
  adapter: postgresql
  database: msf
  username: msf
  password: pPNxhXXzXeUwC71IytYvXq0Hib8REjNeFyZfuLWl4tI=
  host: localhost
  port: 5432
  pool: 5
  timeout: 5

 

production:
  adapter: postgresql
  database: msf
  username: msf
  password: 0R6M3GKFwDryekHH54mRTqJ0JddMuXIBhOjwD7TGefI=

  host: localhost
  port: 5432
  pool: 5
  timeout: 5

 

test:
  adapter: postgresql
  database: msf_test
  username: msf
  password: pPNxhXXzXeUwC71IytYvXq0Hib8REjNeFyZfuLWl4tI=
  host: localhost
  port: 5432
  pool: 5
  timeout: 5

 

test 작업-----------------------

# msfconsole

 

 

# help

# db_stauts -h

 

msf > db_status -h                     <-- 현재 데이터베이스 상태 표시
[*] postgresql connected to msf   

정상 동작 확인할수 있다.

db기동 (lib식 구현방식 이기 때문에 사용할 때 마다 데몬을 올리고 사용하여야 한다.)

 

 

 

▶메타스플로잇 구성 요소

 

■MSFpayload

셸코드를 생성하고 실행하며, 프레임워크의 외부 공격을 훨씬 유용하게 만들어준다. (msfpayload -h)

 

Metasploit의 제작 재단인 Rapid7의 포스팅

https://community.rapid7.com/community/metasploit/blog/2014/12/09/good-bye-msfpayload-and-msfencode

msfpayload와 msfencode 명령이 사라지고 msfvenom 명령으로 대체된다고 한다.

msfpayload 대신 msfvenom -p(--payload), msfencode -e(--encoder)

 

 

■MSFencod (형 변환시 사용)

MSFpayload의 보안된 유틸리티, 셸코드를 평문으로 네트워크로 보내면 침입탐지 시스템과 안티바이러스 소프트웨어에 의해

탐지될 수 있는데 인코딩(엉뚱한방식) 방식으로 변형하여 중간에 디텍션 기기들이

자신들의 패턴과 비교하여 보안기기 패턴에 걸리지않게 회피할 수 있게 해준다.

(msfencode -l 을 이용하여 인코더 목록 출력)

 

■Auxiliary

포트스캐닝,취약점점검 등 종류들을 칭함

 

# cd /usr/share/metasploit-framework/modules/auxiliary

 

 

# cd modules && ls

# cd auxiliary && ls

(# cd /usr/share/metasploit-framework/modules/auxiliary )

 

 

# msfconsole

# show auxiliary

(많은 코드들이 출력 된다.)

 

....

 

# cd spoof/arp && ls

# cat arp_poisoning.rb (루비 방식 코드 스크립트)

 

 

[실습] 칼리 리눅스 사용하기 1

zenmap을 통해 포트스캔된 정보를 mataspolit에서 읽어 들이기

 

(선수작업)

(Metasploitable V2 Linux 정보 확인)

로그인 ID/PASS: msfadmin/msfadmin

$ ifconfig

$ netstat -nr

$ cat /etc/resolv.conf

 

$ uname -a

$ cat /etc/lsb-release (# ls /etc/*release) 우분투 기반

 

VMware > Edit > Virtual Network Editor > VMnet8(NAT) >

 

[ V ] Use local DHCP service to distribute IP address to VMs

Metasploitable Linux 네트워크 정보

 

(주의) eth0 반드시 NAT로 변경(Host only -> NAT)

IP: 192.168.10.134/24

defaultrouter: 192.168.10.2

DNS Server : 192.168.10.2

[참고] MetasploitableV2 서버 네트워크 설정

Metasploitable V2 Linux Server 네트워크 설정.hwp

 

 

① nmap 프로그램을 통해 공격할려고 하는 시스템의 포트 스캔 과정을 거치고 파일로 저장한다.

 

(Kali Linux)

# zenmap & (nmap GUI버전)

-> 'Quick scan plus' 선택

-> IP : 192.168.10.134 /* Metasploitable V2 Linux's IP : 192.168.10.134 */

스캔 결과

 Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2016-12-08 10:43 EST
Nmap scan report for 192.168.31.134
Host is up (0.00016s latency).
Not shown: 82 closed ports
PORT     STATE SERVICE     VERSION
21/tcp   open  ftp         vsftpd 2.3.4
22/tcp   open  ssh         OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
23/tcp   open  telnet      Linux telnetd
25/tcp   open  smtp        Postfix smtpd
53/tcp   open  domain      ISC BIND 9.4.2
80/tcp   open  http        Apache httpd 2.2.8 ((Ubuntu) DAV/2)
111/tcp  open  rpcbind     2 (RPC #100000)
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
513/tcp  open  login?
514/tcp  open  tcpwrapped
2049/tcp open  nfs         2-4 (RPC #100003)
2121/tcp open  ftp         ProFTPD 1.3.1
3306/tcp open  mysql       MySQL 5.0.51a-3ubuntu5
5432/tcp open  postgresql  PostgreSQL DB 8.3.0 - 8.3.7
5900/tcp open  vnc         VNC (protocol 3.3)
6000/tcp open  X11         (access denied)
8009/tcp open  ajp13       Apache Jserv (Protocol v1.3)

MAC Address: 00:0C:29:4A:C2:BE (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.33
Network Distance: 1 hop
Service Info: Host:  metasploitable.localdomain; OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

 

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 16.93 seconds

 

-> 스캔 결과를 파일로 저장: /root/scan1.xml

scan > save scan

-> 스캔 과정이 끝났다면 zenmap를 종료한다.

 

  xml형식으로 저장되어 있다.

 

② 칼리리눅스에서 MSF console 접속한 후 이전에 저장된 파일(EX: scan1.xml)을 import 한다.

 

# msfconsole

[-] Failed to connect to the database: could not connect to server: Connection refused

Is the server running on host "localhost" (::1) and accepting

TCP/IP connections on port 5432?

could not connect to server: Connection refused

msf> quit

# service postgresql start (msfconsole을 사용할때마다 가동해야 한다.)

# msfconsole

-> 에러메세지 없이 정상적으로 기동이 된다.

 

 

db_import Import a scan result file (filetype will be auto-detected)

검사 결과 파일 가져오기(파일 유형이 자동으로 감지된다

 

Meta address 192.168.31.134

 

 

service 목록 출력 결과

 

지원되는 스캔 종류들을 나열하였다. 그중 syn스캔을 사용해보자

 

use auxiliary/scanner/portscan/syn

show options으로 해당 옵션 출력

 

PORTS 1-500 스캔 포트 대상범위

RHOSTS 192.168.31.134 스캔 대상 IP주소

(피해자의 IP 주소 --Remot ,LHost 공격자의 IP주소 --Local)

 

192.168.31.134 IP의 1-500번 사이 포트 대상으로 Scan한 결과

열려있는 포트들을 확인할 수 있다.

 

[실습] 칼리 리눅스 사용하기 2

메타스플로잇을 사용하여 취약점을 스캔 해 보자 (mysql)

 

(KaliLinux)

nmap -sV를 사용하여 해당 IP의 서비스 버전을 확인한다. 3306포트 취약점을 스캔 해 보자

[!]nmap은 취약점 분석 툴 이다. 악의적인 목적을 위한 도구가 아니므로 외부에서 접속할일이 없으므로 내부에서만 합법.

외부로 스캔하는것은 엄연히 불법 이므로 권장하지 않는다.

 

# service postgresql start 까먹지말자

# msfconsole

use auxiliary/scanner/mysql/mysql_login 하여 스캔

 

 

해당 옵션 확인

PASS_FILE 한 줄에 하나씩 암호가 포함 된 파일

RHOSTS 대상 주소 범위 또는 CIDR 식별자

USER_FILE 한 줄에 하나씩 사용자 이름이 포함 된 파일

 

이후 # set RHOSTS 192.168.10.134 && run 한다.

[*] 192.168.31.134:3306   - 192.168.31.134:3306 - Found remote MySQL version 5.0.51a
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

 

다른 윈도우에서 user.txt, pass.txt 파일을 생성

Metaspolitable V2에서는 root 사용자의 암호가 없다.

 

 

 

[*] 192.168.10.134:3306 MYSQL - Found remote MySQL version 5.0.51a

[*] 192.168.10.134:3306 MYSQL - [1/3] - Trying username:'root' with password:''

[+] 192.168.10.134:3306 - SUCCESSFUL LOGIN 'root' : ''

[*] 192.168.10.134:3306 MYSQL - [2/3] - Trying username:'admin' with password:''

[-] Access denied

[*] 192.168.10.134:3306 MYSQL - [3/3] - Trying username:'administrator' with password:''

[-] Access denied

[*] Scanned 1 of 1 hosts (100% complete)

[*] Auxiliary module execution completed

 

 

 

[실습] 칼리 리눅스 사용하기 2

메타스플로잇을 사용하여 취약점을 스캔 해 보자. (http)

 

root@kali:~# nmap -sV -p 80 192.168.31.134

---------------------------------------------------------------------------------------------------

Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2016-12-08 12:07 EST
Nmap scan report for 192.168.31.134
Host is up (0.00021s latency).
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.2.8 ((Ubuntu) DAV/2)
MAC Address: 00:0C:29:4A:C2:BE (VMware)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.65 seconds

-----------------------------------------------------------------------------------------------------

open 이다

 

이번 http 취약점은 powerfuzzer를 사용하여 테스트 한다.(웹 취약점 진단 툴)

powerfuzzer이란 웹/애플리케이션상의 숨겨진 파일이나 디렉토리들을 부르트로스 방식으로 검출해

공격 팩터(Factor)를 찾는 멀티스레드 자바 애플리케이션이다.

 

 

(KaliLinux 에서 작업)

KaliLinux에서 웹접속을 통한 MetaspolitV2 서버의 Tikiwiki 설정

 

 

 

 

 

 

 

KaliLinux에서 powerfuzzer 실행

KaliLinux > Web Applications > Web Application Fuzzy > powerfuzzer

or

KaliLinux > Vulnerability Analysis > Fuzzing Tools > powerfuzzer

 

# powerfuzzer &

 

-> 출력 결과를 분석하면 목록이 많이 나온다.

-> 이중에서 URL 하나를 선택하여 웹에서 접근해 보자

# firefox http://192.168.10.134/tikiwiki/tiki-index.php

-> 'Home Page' 보인다.

->  만약 홈페이지가 보이지 않는다면 tiwiki 웹사이트에 대한 초기화가 이루어지지 않아서

그렇다. 그런경우 http://192.168.10.134/tikiwiki/tiki-index.php 사이트에 접속하여

다시 설정하여야 한다.

 

 

 

twiki 대상 웹 서비스 공격

 

최신 취약점을 확인하기 위해서 http://www.exploit-db.com에서 검색을 한다.

 

http://www.exploit-db.com 사이트에서

-> 오른쪽 상단의 'search'를 선택하고

-> Description 부분에 'tikiwiki' 입력한다.

-> 상당히 많은 버그가 있다는 것을 알수 있다.

-> 2004년 ~ 2010년까지의 결과 확인

 

 

-> 2006-11-01 버그를 확인한다.

-> Sirius (sort_mode) Information Disclosure Vulnerability 선택한다.

 

 

내용중 tikiwiki 버전 1.9.5의 치명적인 보안 버그 내용을 나타내고 있다.

익명의 사용자가 mysql 사용자 & passwd를 덤프 할 수 있다고 한다.  (매우 위험한 상태)

 

http://192.168.10.134/tikiwiki/tiki-listpages.php?offset=0&sort_mode=

에러메세지 부분 참고

 

MySQL에 접근하여 정보를 확인해 보자.

# ssh msfadmin@192.168.10.134

 

 

$ mysql -u root -p

 

 

 

use tikiwiki195

show tables; 결과

 

select * from users_users;

admin/admin 정보를 확인할수 있다.