꼰머의 보안공부

3.5) Intruder

- 사용자가 정의한 자동화 공격을 수행하기 위한 도구

- 어플리케이션을 테스트할 때 발생하는 모든 종류의 작업을 자동화하는데 사용할 수 있음

- Intercept된 상태에서 우클릭 > Send to Intruder를 선택하거나, Ctrl + I를 누르면 Intruder가 활성화

3.5.1) Positions

- 페이로드 구성 및 공격 유형을 결정하는데 사용

- [캡쳐 1]에서 §,§사이에 페이로드 설정

- Attack type에는 4가지 유형이 있음

① Sniper : 단일 페이로드 집합이 사용되며, 정의된 각 위치에 차례로 페이로드를 삽입
② Battering ram : 단일 페이로드 집합이 사용되며, 정의된 모든 위치에 동일한 페이로드를 삽입
③ Pitchfork : 단일 이상의 페이로드 집합이 사용되어, 각 정의된 위치의 개수(최대 8개)만큼 사용. 각 페이로드가 정의된 위치에 동시에 삽입.
④ Cluster bomb : 단일 이상의 페이로드 집합이 사용되어, 각 정의된 위치의 개수(최대 8개)만큼 사용. 각 페이로드 집합을 순서대로 반복하여 모든 페이로드의 조합을 테스트.

- Payload Positions 영역

① Add § : 페이로드 추가
② Clear § : 모든 페이로드 제거
③ Auto § : 유효한 위치를 추측하여 그에 맞게 페이로드를 배치
④ Refresh : 새로고침

3.5.2) Payloads

- 하나 이상의 페이로드 집합을 구성하는데 사용

- 집합 개수는 Positions 탭에서 설정한 Attack type에 따라 달라짐

① Payload Sets : 하나 이상의 페이로드 집합 정의
② Payload Options : 페이로드로 사용되는 문자열의 단순 목록 구성
③ Payload Processing : 각 페이로드가 사용되기 전 다양한 처리 작업을 수행하는 규칙 정의
④ Payload Encoding : HTTP 요청 내에서 안전한 전송을 위한 URL encoding 설정

3.5.3) Resource Pool

- 리소스 할당량을 공유하는 작업 그룹

- 동시에 수행할 수 있는 요청 또는 요청을 수행할 수 있는 빈도 등을 설정

3.5.4) Options

- 공격에 영향을 미치는 옵션을 구성

① Request Headers : 공격 중에 구성된 request header 업데이트 여부 제어
② Request Engine : 공격 수행 시 HTTP 요청 수행 엔진 제어
③ Attack results : Attack results에 캡처되는 정보 제어
④ Grep - Match : 지정된 표현식이 포함된 결과 항목 플래그 추가 가능
⑤ Grep - Extract : 유용한 정보를 공격 결과 테이블로 추출 가능
⑥ Grep - Payloads : 사용된 페이로드 값이 응답 값에 포함되었는지 여부 결과 항목 플래그 추가
⑦ Redirections : 공격 수행 시 Burp의 Redirection 처리 방법 제어

3.6) Repeater

- HTTP 요청을 재전송하거나 응답을 분석할 때 사용

- Intercept된 상태에서 우클릭 > Send to Repeater를 선택하거나, Ctrl + R을 누르면 Repeater가 활성화

① Send : 요청 전송 

② Cancel

③ < / > : 전/후 요청 및 응답 확인

3.7) Sequencer

- 웹 어플리케이션에서 제공하는 값의 임의성을 분석하기 위한 기능

- 분석을 원하는 패킷 우클릭 > Send to Sequencer 선택 시 활성화

3.7.1) Live capture

- 분석을 원하는 패킷 우클릭 > Send to Sequencer 선택 시 Select Live Capture Request에 추가

- Token Location Within Response 영역은 어플리케이션의 응답 내에서 토큰이 나타나는 위치를 선택할 수 있음

① Cookie : 응답으로 쿠키가 설정된 경우, 분석할 쿠키 선택 가능
② Form fields : 응답에 HTML 양식 필드가 있는 경우, 분석할 양식 필드 값 선택 가능
③ Custom location : 사용자의 임의로 항목 정의 가능

- Live Capture Options 영역은 라이브 캡처 수행 시 HTTP 요청 및 토큰 수집에 사용되는 엔진을 제어 설정할 수 있음

① Nuber of threads : 실시간 캡처가 동시에 서버에 보낼 수 있는 요청 수
② Throttle between requests : 모든 요청 전 지연 시간 (과부하 방지 or 은밀한 요청에 유용)
③ Ignore token whose length deviates by _ charaters : 지정한 평균 토큰 길이 벗어나는 토큰 무시 설정

- 설정을 완료한 후 Start live capture를 누르면 라이브 캡처가 시작되며, 라이브 캡처 중에는 토큰 수, requests 수 및 네트워크 오류 수를 progress bar로 보여줌

① Pause/Resume : 캡처 일시 중지/재시작
② Stop : 캡처 중지
③ Copy tokens : 현재 캡처된 토큰 클립보드에 복사
④ Save tokens : 현재 캡처된 토큰 파일에 저장
⑤ Auto analyze : 토큰 자동 분석 수행, 라이브 캡처 중 결과 주기적 업데이트
⑥ Analyze now : 최소 100개의 토큰이 캡처되면 Burp가 현재 샘플을 분석 후 결과 업데이트

3.7.2) Manual load

- 이미 생성된 토큰을 불러와 통계 분석을 수행할 수 있음

3.7.3) Analysis options

- 토큰에 대한 처리 방법과 분석하는 동안 사용하는 테스트 유형을 설정

- Token Handling은 분석 중 토큰 처리 방법을 제어

① Pad short tokens at Start/End : 각 토큰의 시작/끝 패딩 적용 여부 선택
② Pad with : 패딩에 사용될 문자 지정(보통 "0")
③ Base64-decode before analyzing : 토큰이 Base64 인코딩 된 경우 분석 전 디코딩 설정

- Token Analysis는 문자와 비트 레벨의 테스트에서 수행되는 분석 유형을 제어

3.8) Decoder

- 데이터 암/복호화 및 해시 형식으로 변환

- 데이터 우클릭 > Send to Decoder 클릭 시 활성화

- 값 입력 후 우측 Decode as 등을 통해 암/복호화가 가능하며, Smart decode는 인코딩 값을 찾아 자동적으로 디코딩하는 옵션

3.9) Comparer

- 두 데이터 간 비교를 수행

- 복사/붙여넣기, 파일 로드, Send to Comparer를 통해 활성화

- 비교할 데이터 선택 후 Words(단어 수준의 차이), Byte(바이트 레벨에 존재하는 차이) 중 비교 형식을 선택하여 비교

3.10) Logger

- 버프슈트 로그를 기록

3.11) Extender

- 자체 또는 타사 코드를 사용하여 기능 확장 가능

3.11.1) Extensions

- 설치된 모든 확장 기능을 확인할 수 있으며, 추가, 제거, 재정렬(Up/Down) 할 수 있음

① Details탭에서 해당 확장 기능 정보를 확인할 수 있고, Extension loaded를 체크하면 확장을 활성화할지 비활성화할지 선택할 수 있음
② Output탭에서 확장 기능의 표준 출력 스트림 세부 사항을 확인할 수 있음
③ Errors탭에서 표준 오류 스트림 정보를 확인할 수 있음

3.11.2) BApp Store

- Burp Suite 사용자가 작성한 Burp 확장 기능이며, 사용 가능한 BApps를 확인하여, 설치하여 사용할 수 있음

3.11.3) APIs

- Burp 확장 기능을 개발하는 데 사용할 수 있는 API에 대한 세부 정보를 확인 가능
- 실행 중인 Burp 버전에서 사용할 수 있는 API 정보가 표시되어 있음

- Save interface files/Save Javadoc files는 확장 기능을 개발할 때 사용할 수 있도록 코드를 로컬 사본으로 저장하는 기능

3.11.4) Options

- 확장 설정, Java 환경, Python 환경, Ruby 환경에 대한 설정 옵션

① Settings - 시작 시 확장을 어떻게 처리할 것인지 설정
(시작 시 자동으로 재로드할 것인지, BApp 자동으로 업데이트할 것인지)
② Java environment - Java로 작성된 확장 기능 실행을 위한 환경 구성 설정
확장 프로그램에서 라이브러리를 사용하는 경우 라이브러리를 로드할 폴더를 지정할 수 있음
③ Python environment - Python으로 작성된 확장 기능 실행을 위한 환경 구성 설정
Python 확장 기능을 사용하려면 Jython*을 다운로드 받고 경로를 설정해야 함.
Jython* : Java로 구현된 Python 인터프리터
④ Ruby environment - Ruby로 작성된 확장 기능 실행을 위한 환경 구성 설정
Ruby 확장 기능을 사용하려면 JRuby*를 다운로드 받고 경로를 설정해야 함
JRuby* : Java로 구현된 Ruby 인터프리터

참고

1. 버프슈트(Burp Suite)

- 프록시(Proxy) 서버를 사용하여 클라이언트와 서버가 주고받는 패킷을 가로채 위변조가 가능하게 해주는 프로그램

- 웹 취약점 점검 또는 웹 해킹에 주로 사용

1.1) 프록시(Proxy)

- 사전적 의미는 대리, 대리인
- 클라이언트가 자신을 통해서 다른 네트워크 서비스에 간접적으로 접속할 수 있게 해 주는 컴퓨터 시스템이나 응용 프로그램
- 즉, 클라이언트와 웹 서버 사이에 껴서 데이터를 중계해주는 역할
- 서버와 클라이언트 사이에 중계기로서 대리로 통신을 수행하는 것을 가리켜 '프록시', 그 중계 기능을 하는 것을 프록시 서버라고 부름

2. 기본 설정

- 클라이언트와 서버를 오가는 패킷을 캡쳐하기 위해 버프스튜와 브라우저에 Proxy 설정을 해주어야 함

- 8080 포트를 다른 서비스가 사용하고 있는 경우 다른 포트로 변경

- 최근 IE EoS로 다른 브라우저 사용 권장

- Proxy > Intercept  > Open browser를 통해 별도의 프록시 설정 없이도 패킷 캡쳐가 가능함.

- 패킷에서 한글이 깨지는 경우가 있는데, 설정된 폰트가 한글을 지원하지 않아 생기는 문제로, User options > Display에서 한글을 지원하는 폰트로 변경.

3. 기능

3.1) Dashboard

- 2.x 버전부터 생긴 기능으로, 자동화된 활동을 한 눈에 모니터링 및 제어

3.1.1) Tasks 영역

① New scan은 스캔 키능을 제공하며, Pro 버전에서만 사용이 가능

② 무료버전에서는 New live task를 통해 실시간 크롤링이 가능

3.1.2) Event log 영역

① 작업에 대한 Error, Info 등의 이벤트 로그 기록

3.1.3) Issue activity 영역

① 스캔 활동에 대한 결과가 기록되며, Pro 버전에서만 사용이 가능

3.2) Target

- 타겟 어플리케이션에 대한 정보 확인 가능

3.2.1) Site map

- 브라우저에서 방문한 모든 URL이 개별 항목으로 기록되며, 각각의 요청 및 응답에 대한 정보를 확인할 수 있음

- 도메인, 디렉터리, 파일 내용을 계층구조로 보여줌

- 필터를 통해 원하는 콘텐츠만 나타내도록 설정할 수 있음.

- request type 필터를 Show only in-scope items만 설정한 후 Site map에서 원하는 사이트에 마우스 우클릭 > add to scope로 scope를 지정해주면, 지정된 사이트에 대한 정보만 볼 수 있음.

3.2.2) Scope

- 공격하려는 대상의 범위에 대해 설정 가능

① Include in scope : 범위 내 표시
② Exclude in scope : 범위 내 차단

- 공격 대상 범위 설정 후 [캡쳐 10]처럼 설정하면, 공격하려는 범위에 대해서만 Intercept할 수 있음.

3.2.3) Issue definitions

- 버프슈트 스캐너에서 탐지할 수 있는 문제점 목록

3.4) Proxy

- 가장 많이 활용되는 기능으로, 브라우저와 웹 서버간 모든 요청 및 응답을 가로채 조작할 수 있음

3.4.1) Intercept

- 브라우저와 웹 서버간 HTTP 요청을 가로채 표하며, 요청을 조작할 수 있음

① Forward : 요청/응답 조작 후 브라우저/웹 서버로 전송
② Drop : 메시지 삭제
③ Intercept on/off : Intercept 켜기/끄기
④ Action : 현재 표시된 메시지에 대해 수행할 수 있는 동작 메뉴 표시
⑤ Open Browser : 별도의 프록시 설정 없이 Intercept 가능한 브라우저 열기
⑥ inspector : 현재 표시된 메시지에 대한 정보 표시

3.4.2) HTTP history

- 버프슈트를 통과한 모든 요청 및 응답에 대한 기록이 저장

- 패킷을 선택해 요청 및 응답 메시지 확인, 필터링 및 주석 설정 가능

3.4.3) WebSockets history

- 버프슈트를 통과한 모든 WebSockets 메시지에 대한 기록이 저장

- 패킷을 선택해 요청 및 응답 메시지 확인, 필터링 및 주석 설정 가능

3.4.5) Options

- Proxy listeners, HTTP 요청/응답 인터셉트, WebSocket 메세지 인터셉트, 응답 수정, 일치 및 교체, TLS 통과, 기타 옵션 설정 가능

① Proxy listeners - listeners 중 하나를 프록시 서버로 사용하도록 설정할 수 있음 (Burp Proxy는 listeners를 사용하여 브라우저의 HTTP 요청을 수신한다.)
② Intercept Client Requests - 클라이언트 요청 메세지 인터셉트에 대한 규칙을 지정할 수 있음
③ Intercept Server Responses - 서버 응답 패킷 인터셉트에 대한 규칙을 지정할 수 있음
④ Intercept WebSockets Messages - WebSocket 메세지의 인터셉트 여부를 개별적으로 설정할 수 있음
⑤ Response Modification - 자동 응답 수정을 통해 다양한 작업을 수행할 수 있음
⑥ Match and Replace - Proxy를 통해 전달되는 요청 및 응답의 일부를 자동으로 변경하는 데 사용
⑦ TLS Pass Through - TLS 연결을 통해 직접 전달할 대상 웹 서버를 지정하는 데 사용
⑧ Miscellaneous - Proxy 동작의 특정 세부 정보를 제어하는 옵션을 설정할 수 있음

1. 쇼단(Shodan)

- 2009년 스위스 출신 프로그래머 존 매덜리(John Matherly)에 의해 개발

- 사용자가 다양한 필터를 사용해 인터넷에 연결된 다양한 유형의 서버(웹캠, 라우터, 서버 등)를 검색할 수 있는 검색 엔진

- 라우터, 스위치, FTP, 특정 웹 서버 등에 대한 정보를 수집 및 결과를 보여줌

- 보안 취약점을 가진 시스템을 찾아내어, 보안을 강화하기 위한 수단으로 개발

2. 필요성 및 목적

- 근본적인 기능은 IoT 보안을 강화하기 위해 그 취약점을 찾아내는 것

- 쇼단을 통해 자신이 관리하는 장비와 서비스의 보안 취약성을 파악

- 보안과 관련된 다양한 자료를 제공하고 전문가들을 보고서를 발행

- 특정 익스플로잇에 취약한 디바이스를 검색 : 취약한 장치를 찾는데 도움이 되지만, 해커도 쇼단을 사용하여 공격 대상에 대한 정보를 획득할 수 있음.

3. 검색필터

1. 와이어샤크(WireShark)란?

- 네트워크 패킷을 캡쳐하고 분석할 수 있도록 해주는 오픈소스 도구

2.  동작 과정

- 네트워크를 통해 Bob과 Allice는 대화를 주고받는다.

- 제3자는 WireShark를 이용해 패킷을 수신하여 저장한다.

- 이때, PCAP(Packet Capture) 확장자로 저장되며, PCAP는 네트워크 트래픽을 캡쳐하는 API 이다.

- WireShark는 자체적으로 패킷 캡쳐 기능을 제공하는 것이 아니라, 운영체제에서 제공하는 캡처 라이브러리를 이용해 패킷을 캡처한다.

* 운영체제별 캡처 라이브러리 : 유닉스_libpcap / 윈도우_Winpcap

3. 인터페이스

- WireShark 최초 실행 시 현재 호스트에 설치된 인터페이스를 볼 수 있다.

- 패킷 캡쳐를 하고자 하는 인터페이스를 [캡쳐 2]에서 선택한다

① : 시작

② : 중지

③ : 다시시작

④ : 캡쳐된 패킷을 나열한 부분

No : 패킷이 수집된 순서 번호

Time : 패킷이 수집된 시간

Source : 출발지

Destination : 목적지

Protocol : 사용한 프로토콜

Length : 패킷의 길이

Info : 패킷의 상세 정보

⑤ : ④에서 주고 받은 패킷의 헤더 정보

⑥ : 해당 패킷이 실제 주고받은 데이터 정보를 16진수로 나타냄

4. 사용예시

- ping 명령을 수행한 후 캡쳐 결과를 확인해 보면 출발지(192.168.56.107)에서 목적지(192.168.56.102)로 ICMP 프로토콜을 사용해 request/reply를 송수신한 것을 볼 수 있다.

* ICMP (Internet Control Message Protocol)

  인터넷 제어 메시지 프로토콜로 주로 오류 메시지를 전송하는데 사용된다.

5. 필터링

- [캡쳐 5]를 통해 내가 보기를 원하는 패킷 외에 다양한 패킷이 캡쳐된 것을 확인할 수 있으며, 필터링을 통해 보다 직관적으로 패킷을 구별할 수 있다.

- 해당 부분에 필터링 문법을 작성하고 엔터를 치면 설정한 문법에 따라 필터링이 수행된다.

- 와이어샤크에서는 아래 조건 외에도 다양한 필터링 명령을 제공하므로, 적절히 조합하여 사용한다.

1. Snort

- 네트워크상의 실시간 트래픽 분석 및 패킷 로깅을 수행할 수 있는 오픈소스 네트워크 침입 탐지 시스템

2. 기능 및 동작 과정

2.1) 기능

2.2) 동작과정

3. Rule

- 룰 헤더 부분과 룰 옵션 부분으로 구성

- Ex) alert tcp any any -> any any (msg:"Web Attack"; sid:10000002; rev:1)

※ Rule은 /etc/snort/rules/local.rules에 추가한다.

※ 모든 구성하는 모든 요소가 참이어야 룰이 실행됨

※ 각 구성 요소들은 AND 연산을 수행하는 것으로 간주하며, 동시에 다양한 규칙에 대해서는 OR 연산을 수행하는 것으로 간주함.

3.1) Action

- 패킷 탐지 시 해당 패킷 처리 방법 명시

3.2) Protocol

- 탐지할 프로토콜을 지정

- TCP, UDP, ICMP, IP 네 가지 프로토콜 지원하며 any로 지정 시 모든 프로토콜을 나타냄

- 하나의 룰에는 하나의 프로토콜 지정 가능

3.3) Src IP[Dst IP], Src Port[Dst Port]

- 출발지 IP, Port와 목적지 IP, Port 지정

- IP 주소 지정 시 any를 이용하여 모든 IP를 지정할 수 있으며, 특정 IP를 명시할 수 있음

- Port 역시 특정 포트 혹은 포트 범위 지정 가능

3.4) Direction

- 패킷의 방향성을 표시

- <-는 존재하지 않음

3.5) Option

- Option은 Snort의 핵심이며 편의성과 유연성을 결합

- 각 Option은 세미콜론(;)으로 구분하며, 콜론(:)으로 인수와 구분함

- 스노트에 관하여 잘 정리된 블로그