[VMware] Snort(스노트)에 대하여 알아보기 & 실습하기 - 2
실습 환경
VMware Workstation 15 Player (FREE 버전)
Security Onion 14.04.4.2 (Sguil)
Kali-Linux-2018.3a-i386 (32 bit)
Metasploitable-Linux-2.0.0
BeeBox (bWAPP) v1.6.7
실습 IP 주소
BeeBox (bWAPP) 192.168.184.133
Metasploitable 192.168.184.130
Security Onion 192.168.184.129
Kali 192.168.184.132
Snort에 대하여 알아보기 & 실습하기 - 1에 이어서 하는 실습입니다.
Snort에 대하여 알아보기 & 실습하기 - 1에서 설정을 하신 후 (2)를 진행하시기 바랍니다.
먼저 Metasploitable를 실행하여 IP를 확인합니다.
ifconfig 명령어를 입력합니다.
Metasploitable IP : 192.168.184.130
Metasploitable를 켜놓은 상태로 두고 다른 가상머신을 실행합니다.
이번에는 Kali를 실행합니다.
Firefox를 실행하여 Metasploitable의 IP주소를 주소 창에 입력합니다.
입력하면 Metasploitable의 페이지 화면이 나옵니다.
메뉴 중에서 DVWA 링크를 클릭합니다.
DVWA 로그인 화면이 나옵니다.
Username : admin
Password : password를 입력하여 로그인합니다.
로그인을 하시면 다음과 같은 창이 나옵니다.
DVWA에서는 여러 가지 해킹 관련 연습을 하실 수 있습니다.
Kali 에서 터미널(Terminal)을 실행하여 owasp-zap를 입력합니다.
Accept(동의하기)를 눌러줍니다.
로딩이 되는 동안 잠시 기다립니다.
처음 실행하면 다음과 같은 창이 나오는데 아무거나 선택하신 후 Start 버튼을 눌러줍니다.
실행이 완료되면 아직 접속한 사이트가 없는 깨끗한 상태의 창이 나옵니다.
OWASP-ZAP 창은 열어둔 상태로 둡니다.
Firefox 브라우저로 돌아와서 메뉴의 Preferences 항목을 선택합니다.
Advanced 메뉴를 들어갑니다.
Network 탭을 선택한 후 Settings… 버튼을 눌러줍니다.
프록시(Proxy)를 설정합니다.
Manual proxy configuration을 선택한 후
HTTP Proxy : 127.0.01
Port : 8080
입력하고 Use this proxy server for all protocols 항목을 체크합니다.
그리고 OK 버튼을 눌러줍니다.
DVWA 페이지로 돌아가서 새로 고침 버튼을 3~4번 정도 눌러줍니다.
새로 고침을 하고 나면 OWASP-ZAP에 접속한 DVWA가 기록으로 생깁니다.
192.168.184.130 = DVWA 홈페이지
2개의 가상머신 Metasploitable과 Kali는 실행한 상태로 두고 새로운 가상머신을 열어줍니다.
Security Onion을 실행합니다.
바탕화면의 SGUIL을 실행합니다.
SGUIL 설치 시 사용한 Username과 Password를 입력합니다.
Host와 Port는 그대로 사용합니다.
감시할 네트워크를 선택하는 창이 나옵니다.
저희는 전부다 선택합니다.
처음 실행하면 여러 가지 로그가 생겨있는 것을 볼 수 있습니다.
로그를 선택한 다음 F5를 눌러주면 로그가 지워집니다.
확실한 구분을 위해 전부 지워줍니다.
다시 Kali로 돌아옵니다.
Kali의 OWASP-ZAP에서 DVWA(192.168.184.130)을 공격합니다.
192.168.184.130에서 마우스 오른쪽 버튼을 누른 후 Attack메뉴에서 Active Scan...을 눌러줍니다.
처음에는 항목들이 숨겨져 있습니다.
Show advanced options 항목을 체크해주면 다른 항목들이 생깁니다.
Show advanced options 항목을 체크합니다.
Input Vectors 탭으로 이동합니다.
Injectable Targets 항목을 전부 체크합니다.
1. URL Query String & Data Driven Nodes
2. POST Data
3. URL Path (could slow down testing)
4. HTTP Headers (could slow down testing)
5. All Requests
6. Cookie Data (could slow down testing)
전부 선택하고 나머지 항목은 처음 설정 그대로 둡니다.
Policy 탭으로 이동합니다.
Apply를 Off로 설정한 후 Rules 옆에 Go 버튼을 눌러줍니다.
Policy에서 Server Security 메뉴를 선택합니다.
Path Traversal 항목을 High로 설정합니다.
High / High / Release
그리고 하단의 Start Scan 버튼을 눌러줍니다.
DVWA (192.168.184.130)을 스캔 중입니다.
잠시 기다립니다.
Security Onion으로 돌아옵니다.
SGUIL에 1번으로 설정한 규칙의 로그가 뜨는 것을 확인할 수 있습니다.
새롭게 가상머신을 열어서 BeeBox를 실행합니다.
BeeBox의 IP주소를 확인합니다.
터미널(Terminal)에 ifconfig 명령어를 입력합니다.
BeeBox IP : 192.168.184.133
Kali로 돌아와서 proxy 설정을 해제합니다.
Kali에서 Firefox를 이용하여 BeeBox를 접속합니다.
BeeBox(bWAPP) [192.168.184.133] 의 IP를 입력합니다.
여기서 bWAPP 링크를 클릭합니다.
BeeBox(bWAPP) 홈페이지에 들어왔습니다.
다시 Kali의 프록시(Proxy)를 설정합니다.
프록시(Proxy)를 설정한 후 BeeBox(bWAPP) 홈페이지를 새로 고침 합니다.
새로 고침을 2~4번 정도하면 OWASP-ZAP에 로그가 생깁니다.
BeeBox(bWAPP) [192.168.184.133] 에서 마우스 오른쪽 버튼을 누른 후 Attack 메뉴에서 Active Scan...을 클릭합니다.
Input Vectors 메뉴에서 Injectable Targets 항목들이 체크되어있는지 확인합니다.
Policy 메뉴로 이동합니다.
Apply를 Off로 설정하고 Rules 옆에 Go 버튼을 눌러줍니다.
Policy 메뉴에서 Information Gathering 항목으로 이동합니다.
Directory Browsing 항목을 High로 변경합니다.
High / High / Release
그리고 Injection 항목으로 이동합니다.
그 중에서 Cross Site Scripting (Reflected) 항목만 High로 설정합니다.
High / High / Release
추가로 Server Security 항목의 Path Traversal 항목도 설정합니다.
High / High / Release
그리고 Start Scan 버튼을 눌러줍니다.
BeeBox(bWAPP)를 스캔 하는 동안 잠시 기다립니다.
여기서도 1번으로 설정한 규칙이 나오는 것을 확인할 수 있습니다.
그리고 2번으로 설정한 규칙도 나옵니다.
2번 규칙을 확인하기 위해 Kali 주소 창에 다음과 같이 입력합니다.
192.168.184.133(BeeBox IP 주소)
192.168.184.133/bWAPP/robots를 입력합니다.
여기서 /passwords/ 폴더가 있는 것을 확인할 수 있습니다.
주소 창에 다음과 같이 입력합니다.
192.168.184.133/bWAPP/passwords/
새로운 화면으로 이동합니다.
이번에는 heroes.xml 파일을 클릭합니다.
등록되어 있는 여러 개의 아이디와 비밀번호가 있는 것을 확인 할 수 있습니다.
이번에는 3번 규칙이 로그에 나오도록 해보겠습니다.
Kali에서 bWAPP 홈페이지에 로그인 합니다.
ID : bee
PWD : bug
로그인을 한 후 Choose your bug 항목에서 HTML Injection - Stored (Blog) 항목을 선택합니다.
HTML Injection - Stored (Blog) 밑에 빈 칸에 다음과 같이 입력합니다.
<script>alert(“XSS”)</script>
입력한 후 Add를 체크하고 Submit 버튼을 눌러줍니다.
Script가 실행 되는 것을 확인 할 수 있습니다.
XSS
OK 버튼을 눌러줍니다.
방금 입력한 항목이 추가 되었습니다.
다시 Security Onion으로 돌아옵니다.
SGUIL에 3번째로 작성한 규칙의 로그가 생겼습니다.
“Persistent XSS in POST”
이상으로 로그 탐지하는 방법에 대하여 알아보았습니다.
감사합니다.
'VMware Workstation 15 > Snort (스노트)' 카테고리의 다른 글
[VMware] Snort(스노트)에 대하여 알아보기 & 실습하기 - 1 (0) | 2018.11.01 |
---|