36주차 과제 (하) - Brute Force 공격, Command Injection 공격 (LOW)

 이번 과제는 사전 설정 과정이 길어져 분할하여 업로드하게 되었습니다. 지난 업로드는 칼리 리눅스를 설치하고 칼리 리눅스 안에 DVWA 를 설치, 정상적으로 작동하도록 설정하는 시간이었습니다. 이번에는 이번에 구축환 환경을 통해 간단한 실습을 진행하고자합니다.

36주차 과제 - 웹 모의해킹 1.pptx

6.88MB

 

 PPT는 지난 업로드와 같은 PPT를 사용합니다. 이 포스트는 AI 스쿨의 리팩토링 과정을 수행한 것을 올린 것 입니다. 더 자세한 내용을 알고 싶으시다면 다음 링크를 통해 확인해 주시기 바랍니다.

 

https://cafe.naver.com/itscholar

정보보안전문가 취업카페 스칼라 : 네이버 카페

---

 본문

 이전 과제 중 웹 취약점의 종류를 짚어본 과제가 존재합니다. 이번 시간 부터 당시에 짚어봤던 웹 취약점을 모의 해킹해 보는 시간이 되겠습니다. 이번 시간에는 Brute Force 공격과 Command Injection 공격을 실습해 보도록 하겠습니다.

 

Brute Force 공격

 브루트 포스 공격은 무차별 대입법이라고 번역되는 공격 기법입니다. 이는 ID와 패스워드에 대입이 가능한 모든 경우의 수를 대입해 보는 것으로 공격하는 것을 말합니다. 브루트 포스 라는 단어의 의미가 짐승같은 힘이라는 것에서 볼 수 있듯이 가장 원시적인 형태의 공격이지만, 모든 경우의 수를 대입해 볼 경우 반드시 공격에 성공할 수 있기 때문에 무시할 수 없는 공격 방식입니다.

 

 먼저 Burpsuite의 내부 브라우저로 DVWA에 접근합니다.

 

 

 처음 진행하는 모의해킹 실습이기에 난이도는 Low로 진행할 예정입니다. DVWA에 로그온한 후 보안 설정 탭에서 보안 단계를 Low로 설정합니다.

 

 

이제 Brute Force 탭에 접근합니다. 이 탭에서는 아이디와 패스워드를 입력하여 로그온할 수 있는 창이 나타나게 됩니다. 이곳에서 admin 아이디와 아무 패스워드를 입력한 후, 로그온 시도를 하는 패킷을 분석할 것 입니다.

 

 

해당 패킷입니다. 이 패킷에서는 GET 명령어를 이용한 간단한 구조로 아이디와 패스워드를 평문으로 전송하고 있었습니다. 이 양식을 이용하여 admin 계정을 향한 브루트 포스 공격을 진행합니다.

 

 

결과입니다. responce의 길이가 다른 결과가 단 하나 존재했습니다. admin 계정의 비밀번호는 password였습니다.

 

Command Injection 공격

 커맨드 인젝션 공격은 사용자가 웹 애플리케이션을 사용할 때 입력 값을 조작하는 것으로 웹 서버의 명령어를 실행할 수 있는 취약점입니다. 만약 이 취약점이 존재한다면 외부 사용자에 의하여 파일이 유출되는 등의 피해가 발생할 수 있습니다.

 

이는 커맨드 인젝션 탭에서 웹 앱을 사용하는 모습입니다. 해당 탭은 아이피를 입력한다면 ping 명령어를 보내주는 간단한 웹 애플리캐이션으로 구성되어 있습니다.

 

 

여기에서 아이피 뒤에 간단한 명령어를 삽입해보았습니다. ls 명령어는 해당 디렉토리에 존재하는 파일 이름을 나열하는 명령어입니다. 해당 웹 애플리케이션은 커맨드 인젝션 공격으로 인해 내부 파일 정보를 노출한 샘 입니다.