| 세션 하이재킹 실행 환경 |
세션 하이재킹 테스트 수행시에는 공격자, 서버, 클라이언트 3 대의 시스템이 필요하다. 각각의 실습환경은 다음과 같이 구성되어 있다. 각 시스템은 VMware Workstation 16을 사용해 구동하였다.
| 시스템 | 환경 | IP |
| 텔넷 서버 | 우분투 Metasploitable 2 | 192.168.179.128 |
| 공격대상 | 우분투 64bit | 192.168.179.134 |
| 공격자 | 데비안 10.x 64bit 칼리리눅스 2021.3 | 192.168.179.133 |
| 사용프로그램 | shijack, arpspoof, fragrouter, tcpdump | |
| 세션 하이재킹을 위한 사전 준비 |
TCP 세션 하이재킹에 사용할 Shijack을 홈페이지에서 다운받아 tar xvzf shijack.tgz를 입력해 압축을 풀어주었다.
해당 폴더 디렉토리로 이동해 Shijack-lnx를 실행해보면 사용방법과 옵션을 알 수 있다.
텔넷 서버는 Metasploitable 2로 우분투 시스템이다. 텔넷 접속을 위해 ifconfig를 입력해 IP를 확인한다.
telnet [텔넷 서버 IP]를 입력해서 원격으로 서버에 접속하고 id와 password를 입력해 로그인한다.
클라이언트(혹은 서버)에서 패킷이 오면 바로 패킷을 서버(혹은 클라이언트)로 세션이 끊어지지 않게 전송해줄 수 있도록 Fragrouter -B1을 설정해준다.
Arpspoof를 이용해 텔넷 서버와 클라이언트에 ARP 스푸핑을 수행한다. ARP 스푸핑은 내 MAC 주소를 다른 컴퓨터의 MAC인 것처럼 속이는 공격인데, 서로에게 보내는 패킷을 공격자가 먼저 확인하고 그 패킷을 상대방에게 다시 보내준다. 해당 공격으로 인해 서버는 나의 맥 주소를 클라이언트라고 알고 있고, 클라이언트는 서버라고 알고 있게 된다. 이를 통해 텔넷 서버가 클라이언트에게 보내는 패킷과 클라이언트가 서버로 보내는 패킷 모두 공격자를 지나게 된다.
| ARP Spoofing 동작 방식 |
Arp 스푸핑이 어떤식으로 작동하는지 확인하기 위해 arp 테이블을 확인한다. 위는 클라이언트, 아래는 서버의 arp 테이블이다.
서로에게 Arp 패킷을 보내기 위해 arping을 사용한다. 5번만 패킷을 보내도록 설정했다.
서로의 arp 테이블에 MAC 주소가 추가됐다.
Ifconfig로 공격자의 MAC주소를 확인해본다. MAC주소는 00:0c:29:44:79:33이다.
서버에게 클라이언트로 위장한 본인의 MAC 주소를 보내고, 클라이언트에게는 반대로 본인의 MAC주소를 서버의 MAC주소라고 보낸다.
서로의 MAC주소가 공격자의 MAC주소(00:0c:29:44:79:33)로 변경된 것을 확인할 수 있다. 이렇게 되면 공격자가 각각 서버와 클라이언트가 보내는 패킷들을 모두 받을 수 있다.
| 세션 하이재킹 및 폴더 생성 |
Tcpdump를 통해 서버와 클라이언트 패킷을 모두 확인할 수 있다. 클라이언트에서 무언가를 입력하면 이곳에 바로 해당 패킷이 올라온다. 이를 가지고 텔넷 서버와 클라이언트의 IP와 포트 번호를 확인할 수 있다.
패킷을 확인해보면 192.168.179.134(클라이언트)의 포트는 37232이고, 192.168.179.128(서버)의 포트는 telnet(23)이다.
Shijack-lnx를 통해 세션을 하이재킹 하면 되는데 클라이언트에서 한글자만 입력해도 패킷을 탐지해서 세션을 탈취한다.
패킷을 성공적으로 잡아서 명령어를 입력할 수 있게 된다.
'보안' 카테고리의 다른 글
| (번역) 대규모 NDSW/NDSX 악성코드 캠페인 분석 (0) | 2023.08.12 |
|---|---|
| 세션 하이재킹 (0) | 2021.11.21 |
