Code1018

웹 해킹에 들어가기 앞서
웹서버를 구축할 것이다.
(취약점이 많은!)

그 취약점들을 먼저 공부해 볼 것이기 때문이다.

리눅스에서 웹서버를 구축하기 전에
리눅스의 방화벽을 전부 해제해 줄 것이다.
(실제 서버에서는 해제하면 안된다!, 하지만 우리는 공부할 것이기 때문에 해제해 주도록 한다!)

리눅스에는 방화벽이 두개가 있다.
1. iptables
2. SELinux
이렇게 두개다!

iptables를 삭제해 줄것이다.
/etc/sysconfig/iptables  를 삭제해준다.

(iptables 삭제)

SELinux를 해제해 줄것이다.

vi /etc/sysconfig/selinux 에 들어가서 (vi 편집기 이용)
SELINUX에 disabled로 고쳐준다.

(SELinux 해제)

잘 해제 되었는지 확인해본다.
iptables -L   (명령)
했을 때 체인 룰이 아무것도 안나오면 설정이 안되있는 것이다.

또
getenforce를 입력하였을 때
Disabled라고 나오면 해제된 것이다.

(해제 모습)

그 후 yum을 이용하여
httpd.i386
php.i386
php-mysql.i386
mysql.i386
mysql-server.i386

을 설치해준다.

(설치된 모습)

httpd를 실행시켜준다. (아파치 웹서버이다.)

(실행 모습)

netstat -ant로 확인해볼 수 있다. (웹서버 포트는 80번 포트)

(웹서버 실행중)

혹은
현재 실행중인 프로세스를 확인해서 확인할 수 도 있다.
명령어 #> ps -ef | grep httpd

(프로세스 확인)

그렇게 되면 외부 호스트에서 IP주소로 접속하였을 때
아파치 화면이 뜬다.

(아파치 화면)

(MySQL 실행)

mysql에 접속해 보겠다.
#> mysql -u root
(처음 접속, 비밀번호 설정 안했을 때) 이렇게 들어간다.

(접속 화면)

접속이 되면
mysql>
이렇게 프롬프트가 바뀐다.

비밀번호를 설정해 주겠다.
명령어
#> mysqladmin -u root password (쓸 비밀번호)

(비밀번호 설정)

비밀번호를 설정한 후에는 접속 방법이 조금 다르다.

#> mysql -u root -p
이렇게 접속하면
비밀번호 입력하는 란이 나온다.
여기에 아까 설정해준 비밀번호를 입력하면 된다.

(비밀번호 입력 접속)

(타르 파일 풀기)

(푼 모습)

해제하고 나면 해당 경로에 디렉터리 하나와 파일 하나가 생긴다.

(풀린 모습)

여기서 /etc/php.ini  파일을 하나 고쳐줄 것이 있다.

(vi /etc/php.ini )

vi 편집기를 이용해 들어와서
아래 표시된 부분을 On으로 고친다.

(고쳐진 모습)

그 후 외부 호스트에서
IP/zboard/install.php 경로로 접속을 하면 아래와 같이 나온다.

(접속 모습)

여기서 한글이 깨지는 것을 발견할 수 있는데
웹브라우저가 인코딩을 안해주기 때문이다.
인코딩 해주는 프로그램을 추가해준다.

(인코딩 프로그램 추가)

추가해 준 후 해당 페이지에서 오른쪽 클릭을 해서
Korea 로 인코딩 눌러준다.

(Korea 클릭)

그렇게 되면 아래와 같은 화면으로 잘 나오게 된다.!

리눅스에서 방화벽은 iptables가 있다.

iptables 설정을 해보겠다.

리눅스 터미널에서 iptables -L 명령어로 현재
iptables 정책들을 확인할 수 있다.

(현재 설정)

아무 설정이 안되있는 것을 확인 할 수 있다.
Chain이란 규칙들 모음이라고 생각하면 된다.
기본적으로 3개의 Chain이 만들어져있다.
INPUT (들어오는 것에 대한)
FORWARD ( 포워딩하는 것에 대한)
OUTPUT (나가는것에 대한)

간단하게 INPUT , OUTPUT의 규칙을 하나씩 추가해보겠다.
80번 tcp로 들어오는 것과 80번 포트에서 나가는 것을 허용하는 것이다.

(설정 입력)

iptalbes 옵션
-A  : 새로운 규칙 추가
-D  : 기존 규칙 삭제
-C  : 패킷 테스트
-I  : 새로운 규칙 삽입
-R  : 기존의 규칙을 교체
-L  : 적용된 규칙 리스트 출력
-F  : 규칙 초기화
-Z  : 모든 체인의 패킷과 바이트 카운터 값을 0으로 변경
-N  : 새로운 체인을 만든다.
-X  : 체인 삭제
-P  : 기본 정책 변경

(소문자 옵션)
-p  : 정책을 적용할 패킷의 프로토콜
-m  : 정책에 사용할 모듈
-s  : 패킷의 발신지 IP주소
-d  : 패킷의 수신지 IP주소
-i  : 규칙에 적용할 인터페이스
-j  : 룰을 적용할 타겟
-y  : syn 패킷 거부
-f  : 두 번째 이후 조각에 대해 규칙 명시

규칙을 입력하고 확인해본다.

(적용된 리스트)

이렇게 적용된 규칙들은 껐다 켜지면 다 사라진다..

리붓하고
다시 확인해본 모습

(다 사라진 모습)

이제 정책을 저장해보겠다.
다시 규칙을 입력한다.
아래 규칙은 내부로 들어오는 트래픽 중 목적지 포트번호가 21, 25, 80, 110, 143, 443, 587번인 tcp프로토콜인 트래픽을 허용하고 내부로 들어오는 트래픽 중 목적지 포트가 53번인 udp 프로토콜 트래픽을 허용한다는 뜻이다.

(규칙 적용)

이번에는 OUTPUT 체인을 설정하겠다.
외부로 나가는 트래픽 중 출발지 포트가 21, 25, 80, 110, 143, 443, 587번인 tcp 트래픽을 허용하고 외부로 나가는 트래픽 중 출발지 포트가 53번인 udp 프로토콜 트래픽을 허용한다.

(OUTPUT 설정)

체인을 만들어보겠다.
ICMP 체인을 만든다.

(체인 생성)

그 체인 안에 ping 메세지를 차단하는 규칙을 적용해보겠다.

(ICMP 설정)

iptables -L 로
규칙들을 확인한다.

(적용된 모습)

이제 이 체인들을 저장한다.

(저장)

그리고 부팅될때 바로 적용이 될 수 있도록
vi 편집기로
/etc/network/interfaces 에 한줄 추가해준다.

(추가한 모습)

리붓 하고 다시
iptables -L을 한 모습이다.

(저장된 모습)

껏다 켜도 체인이 적용되있는 것을 확인 할 수 있다.

이 규칙들이 적용됬는지
ping 메세지를 보내보겠다.
(아까 ping 요청 메세지를 차단했으므로 ping 응답이 오지 않을 것이다.)

(ping 전송)

ping 메세지 응답이 오지 않는 것을 확인 할 수 있다.
고로
방화벽 설정이 잘 되었다는 것이다.
:)

어플리케이션 프로토콜에 관해 알아볼 것인데
어플리케이션 프로토콜 중에는
FTP, DHCP, DNS, HTTP ... 등이 있다.

이 프로토콜을 확인해보기 위해 직접 서버를 구축해야하는데
서버 구축까지는 힘드므로
있는 프로그램을 활용하기 위해 리눅스를 다룰것이다.
리눅스에서 서버 프로그램을 돌릴 것이다.

그러기 위해 VM 을 설치하고 VM 상에서 리눅스를 설치해야한다.

아래까지는 VM을 설치 마무리한 상황이고 설정 화면이다.

먼저 VM의 네트워크 인터페이스 타입에는 3가지가 있다.
1. NAT -> 호스트가 라우터 역할로 NAT을 구성하는 것이다. 
2. Host Only -> 호스트끼리만 통신이 되는 것이다.
3.Bridge (L2) -> 호스트 운영체제랑 네트워크 인터페이스를 같이 사용한다.

여기서 우리는 Bridge로 설정할 것이다.

(브릿지 타입으로 설정)

그 후 리눅스를 설치한다.

아래는 설치후 로그인 화면이다.

(로그인 화면)

(ifconifg 화면)

윈도우에서는 ipconifg였지만 리눅스에서는 ifconfig로 IP를 확인 할 수 있다.
확인해보니 루프백 인터페이스만 설정되어있고
다른 인터페이스는 없는 상태였다.

DHCP 서비스가 닫혀있었기 때문이었다.
다음은 DHCP 설정을 하는 과정이다.
/etc/sysconfig/network-scripts/ 로 들어가서 ifcfg-eth0 파일을 수정해주어야한다.

(/etc/sysconfig/network-scripts/ 폴더 내용)

vi 편집기를 이용해 eth0 파일을 연다.

그 후 ONBOOT 옆에 no라고 되있는 것을 yes로 바꾸어준다.

(yes로 바꾸어준 모습)

설정후 reboot 해준다.

다시 켜서 확인해보면
ifconfig에서 eth0 인터페이스가 설정되어있는 것을 확인할 수 있다.

(인터페이스가 설정된 모습)

설정이 된 모습을 확인했고
실제로 잘 통신이 되는지 체크했다.
1. 게이트웨이와의 통신 체크
2. 외부 IP주소와 통신 체크
3. DNS lookup 가능 체크

(통신이 잘 되는 모습)

통신이 잘 되는 것을 확인 할 수 있었다.

마지막으로 리눅스에서 네트워크 실습을 할 것이므로
방화벽을 꺼주어야한다. (우리는 해킹 실습을 할 것 이기 때문에.)

* 리눅스 보안설정 해지
 
 방화벽 : iptables
 SELinux : Security Enhanced Linux -> 현재 리눅스보안의 핵심

먼저 iptables를 삭제해 줄것이고 SELinux를 설정을 바꾸어 줄것이다.

(iptables)

/etc/sysconfig 폴더에 들어가서 iptables를 삭제해준다.

(삭제하는 모습)

명령어는
rm -rf iptables 이다.

또 vi 편집기를 이용해 selinux를 열어서 diabled로 바꾸어준다. (아래처럼)

(설정화면)

그러면 이제 설정은 끝이다. reboot하고 설정을 확인해본다.
getenforce를 입력했을 때 Disabled가 나오고
iptalbes -L 을 입력했을 때 아무것도 안나오면 설정이 완성 된 것이다.

(설정이 잘 된 모습)

리눅스 설정은 여기 까지 끝이다.

이제 어플리케이션 프로토콜을 분석하기위해
와이어샤크 프로그램을 사용할 것이다.

와이어샤크 프로그램 실행 첫 화면이다.

(와이어 샤크 첫 화면)

캡쳐를 누르면 여러 패킷이 담긴다.
지금까지 했던 Packetdump와 같다.

(패킷이 덤프된 모습)

오늘은 와이어샤크를 이용한 간단한 트러블슈팅 방법을 알아볼 것이다.

와이어샤크로 패킷을 덤프 받고 수상한 패킷을 찾아낸다.
그 패킷의 포트 번호를 확인한다. 그 후
cmd 명령창에서 netstat를 이용하는데
-o 를 이용하면 프로세스 ID를 표시할 수 있다.

(netstat 옵션)

(PID 출력 화면)

이 아이디로 찾는 것이다.
Crl + Alt + Del 을 누르면 작업관리자가 나오는데

보기 를 누르고 열선택에 들어가서 설정해줘야한다.

(작업관리자 화면)

(열선택 창화면)

여기서 PID 를 체크해주고 확인을 누른다.

(PID 표시 화면)

그렇게 되면 PID도 화면에 같이 볼 수 있다.

아래 화면에서 보듯 1184번이 궁금했는데 위에 작업관리자 PID 118번의 프로세스를 확인하니
vm웨어라고 적혀있다.
여기서 그 패킷은 vm 웨어의 것이구나 하고 알 수 있다.

(1184번 PID)

이런 방식으로
수상하거나 문제가 되는 패킷의 출처를 찾아낼 수 있고
이로 악성코드 실행 근원지를 찾을 수 있고
트러블슈팅을 할 수 있다.

앞으로 리눅스 서버와 와이어샤크를 이용해
어플리케이션 프로토콜을 확인해보고 취약점을 분석해 볼 것이다.