블로그의 모든 내용은 학습 목적으로만 사용하세요.
불법적인 행위에 대한 모든 책임은 당사자에 있습니다.
● WireShark에서 정보값 알아내기
목표 : analysis.pcap에서 힌트를 찾고, quiz.pcap에서 정답을 확인
패킷을 와이어샤크에서 열어 아이디와 패스워드 알아내기
웹 사이트에서 로그인을 시도했기 때문에, protocol에서 http를 검색해보면 로그인 시도한 기록이 나온다.
상세값을 살펴보면 id : kitri , pw : 345라는 값으로 접속 시도를 한 것을 확인할 수 있다.
Credentials 시그니쳐를 획득
정답이 들어있는 quiz pcap에서 String으로 문자열을 검색 후, Credentials 시그니쳐를 검색해준다.
상세값을 살펴보면 로그인에 성공한 id와 pw를 획득할 수 있다.
● BurpSuite에서 정보값 알아내기
로그인 해야 하는데 아무런 정보가 도출되어 있지 않은 상태
현재 상황 : 피해자pc에 proxy 설정
burpsuite를 사용해 프록시를 연결하고, intercept를 on 해준다.
스니핑을 통해 Raw값 확인 시 접속 시도한 username과 password를 평문으로 확인 가능
피해자가 kitri에 kitri로 접속 시도를 한 정보를 확인 가능하다.
# 번외 - 스푸핑
해커가 실제 아이디와 패스워드인 admin , password로 스푸핑을 해준 후 포워드를 해준다.
사용자는 kitri, kitri가 정상 아이디와 패스워드라고 인식하고 웹 사이트를 사용한다.
● brute force
Action - Send to intruder - 프레임을 intruder에게 전달
정상적으로 캡쳐한 프레임에 Action - Send to Intrider를 클릭
클라이언트가 서버에게 요청정보를 보내는 방법 : GET , POST
GET - URL 안에 페이로드가 존재한다.(헤더안에 존재)
: Attack type을 Cluster bomb로 변경
Sniper : 페이로드가 1개일 때
Cluster bomb : 페이로드가 여러개일 때 (최대 20개)
: instruder에서 Paylods에 들어오면 브루트포스 리스트를 셋팅 할 수 있다.
id에 해당하는 kitri&를 우측 Add하고,
pw에 해당하는 kitri&를 우측 Add한다.
Payload set 1 : 아이디 list
Payload set 2 : 패스워드 list
페이로드로 인식한 값 - 빨간색으로 표시되어 있다.
인식된 페이로드 (5개) ~> 공격에 사용할 페이로드를 선정해준다.
add를 통해 공격할 대상을 선정해준다.
: payload set 1에 브루트포스에 사용될 아이디 리스트들을 기입
: payload set 2에 브루트포스에 사용될 패스워드 리스트들을 기입
: 셋팅이 끝나면 우측 위 Start attack을 클릭하면 공격이 시작된다.
: 확인
로그인 시도 시 성공, 실패의 패턴이 존재한다.
성공 시 : 웹 사이트에 접속
실패 시 : login failed
사용자 화면에 띄워지는 내용이 다르다. ~> 반환되는 Data의 길이가 다르다.
원래 아이디 패스워드인 admin, password가 입력될 때 반환받는 문자열이 달라야 한다..
