TCP session Hijacking, hunt

희생자 PC-Windows XP SP3(), 공격자 PC-Backtrack5R3(), 서버 PC-CentOS 5.3() 세 대를 같은 네트워크 대역으로 망을 구성한다. (VMware 사용)     서버 PC에 telnet-server를 설치하고 telnet services를 시작한다. telnet-server가 설치되어 있지 않다면   [root@localhost ~]# sudo yum install telnet-server   으로 설치한다. telnet-server를 구동하기 위해서는 텔넷 데몬을 사용한다는 설정이 필요하다. /etc/xinetd.d/telnet 파일을 vi 편집기로 연다. service telnet에 disable이 yes로 되어 있다. 이것을 no로 편집하여 텔넷을 활성화 시킨다.     [root@localhost ~]# service xinetd restart   명령어도 xiniet 데몬을 재시작하여 변경한 설정을 적용시킨다.   서버는 희생자가 접속 할 수 있도록 adduser를 이용하여 한 명의 사용자를 추가한다. telnet은 로컬 계정으로 서비스를 제공하므로   [root@localhost ~]# adduser cr3denza 로 cr3denza이란 사용자를 추가하고     [root@localhost ~]# passwd cr3denza 명령어를 통해서 user1의 비밀번호를 설정 한다. 희생자는 cr3denza계정을 이용해서 서버로 접속을 할 것이다. /etc/passwd 파일을 열면 cr3denza 계정이 추가된 것을 확인할 수 있다.     희생자인 Windows XP는 방금 telnet-server 설정을 마친 서버 PC에 telnet 접속을 한다.     c:\> telnet 접속할IP 명령어로 Windows에서 telnet-client를 이용할 수 있다.     만약에 Windows에서 telnet-server를 구동시키고 싶다면 WIN+r을 누르고 ‘실행’창에 services.msc를 입력한다. 현재 윈도우에서 사용되고 있거나 사용 할 수 있는 service들이 있다. 이중에서 Telnet을 사용함으로 설정하면 Windows에 telnet-server가 열리게 된다.   3번 과정에서 추가한 계정으로 접속을 한다.     Telnet-server에서 cr3denza 사용자가 로그인 한 것을 확인할 수 있다.     공격자는 희생자 PC와 서버 PC에게 ARP poisoning공격을 해서 MITM 환경을 만든다.   ettercap이란 툴을 사용하여 희생자PC와 서버PC에 ARP poisoning공격과 포워딩을 바로해서 MITM 환경을 만들 수 있다.     root@bt:~# ettercap -T -M arp /192.168.0.41/ /192.168.0.40/ -i eth5   ettercap의 옵션을 확인해보면 -T : Terminal Mode 로 사용하겠다는 것이다. -G옵션을 주면 그래픽모드로 ettercap을 사용할 수 있다. -M : MITM Attack 이고 arp spoofing을 사용하여 바로 뒤에 나오는 /server IP/ /victim IP/에게 MITM공격을 eth5 Interface를 사용해서 하겠다는 의미다. ettercap은 역사도 깊고 여러 가지 기능을 제공하는 프로그램이다. man ettercap 명령어를 사용하여 manual page를 보면 재미있는 기능들이 많이 있다.   서버에 텔넷 접속 중인 희생자의 PC에서 명령어를 보내 MITM환경을 확인할 수 있다. 위의 그림은 희생자는 id라는 명령어를 telnet을 통해서 server로 보내고 서버는 id에 따른 출력물을 희생자에게 보내 희생자의 모니터에 출력된 사진이다.  위의 그림은 공격자의 ettercap에서 MITM환경이 구성되었을 때 client와 server의 패킷을 출력해주는 모습이다. MITM 환경이 구성되었기 때문에 희생자가 보낸 id 명령어와 그에 따른 server의 결과를 볼 수 있다. 현재 MITM환경이 구성되어 있으므로 ettercap의 옵션이나 필터를 이용해서 server와 client 사이에서 발생하는 패킷들을 임의로 조작하거나 손실 시킬 수 있다.   hunt를 사용하여 희생자 PC와 서버 PC의 TCP 세션을 탈취 한다. MITM 환경이 구성 되었으니 이제 위의 세션하이재킹의 원리를 이용하는 툴을 사용하여 세션하이재킹 공격을 할 수 있다.(새로운 터미널을 열어야한다.)   먼저 hunt를 설치한다. root@bt:~# sudo apt-get install hunt   설치된 hunt를 실행한다. root@bt:~# hunt -i eth5   주석 모양 출력에 multipurpose connection intruder / sniffer for linux를 보아 침입 기능과 도청 기능이 있음을 알 수 있다. 먼저 hunt의 메뉴들에 대해 알아보자.   l - 현재 hunt가 탐지한 TCP connections을 출력해준다. u - 현재 네트워크에 있는 호스트들을 탐지한다. a - session hijacking 공격을 수행한다. (ack storm을 피해기 위해 arp poisoning을 사용할 수 있다.) d - rst/arp/sniif/mac 데몬을 실행하고 설정할 수 있다. o - 옵션   지금 l을 누르면 no connections are available 이라는 에러가 발생할 것이다. 이 에러는 서브넷에서 telnet 패킷이 발생하지 않았기 때문에 hunt에서 어떤 세션도 탐지하지 못하였기 때문이다. 희생자가 서버로 명령어를 보내 telnet패킷을 발생시키면 현재 희생자와 서버가 맺고 있는 세션을 확인할 수 있다.     희생자(192.168.0.40)이 서버(192.168.0.41)에 23번 포트로 연결을 맺고 있다. hunt에서 희생자와 서버의 연결을 인식 했다는 것은 희생자와 서버사이의 패킷을 스니핑하고 분석까지 다 되었다는 것이다.   ettercap을 사용하여 arp poisoning공격과 MITM공격을 모두 완료한 상태이므로 바로 세션하이재킹 공격을 할 수 있다. *>s 로 simple hijacking을 선택 한다. 0) 192.168.0.40 [xxxx] --> 192.168.0.41 [23] choose conn> 0 0 번째 연결인 희생자와 서버간의 텔넷 연결을 선택한다.   dump connection y/n [n]> n 연결을 덤프할 필요가 없으니 n을 선택해 덤프하지 않도록 한다.   Enter the command string you wish executed or [cr]> 이제 명령어를 입력해서 희생자와 서버의 텔넷 세션을 훔쳐올 수 있다.   희생자만이 볼 수 있었던 secret.txt파일을 훔쳐 볼 수 있었다.   *ettercap이 실행되고 있는 터미널과 hunt로 공격중인 터미널이 모두 띄워져 있어야한다. ettercap을 사용하지 않고 hunt의 a 메뉴로도 MITM공격이 가능하다.