서버를 운영하다 보면 "설마 잠깐인데 괜찮겠지" 하는 순간이 가장 위험하다는 것을 뼈저리게 느낀 사건이 발생했습니다. 평소 SSH Key 인증만 사용하다가, 내부 설정 이슈로 단 이틀간 Password Authentication을 활성화해두었는데, 그 틈을 타 devuser 계정이 탈취당했습니다.심지어 기본적인 방어책인 Fail2ban이 동작 중이었음에도, 공격자는 IP를 분산시키는 방식으로 차단을 우회하여 침투에 성공했습니다. 즉, 이번 사고는“원래는 키 로그인만 쓰던 서버에서, 짧은 시간이라도 패스워드 로그인을 열어두면인터넷에 노출된 SSH 포트는 곧바로 공격을 맞을 수 있다.” 라는 사실을 몸으로 확인한 케이스입니다.이번 글에서는 침해 사고의 탐지, 로그 분석(IP 추적), 악성코드 제거 및 보안 ..

주통기 ( 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드) W-01, W-02, W-04, W-06 파트를 점검하는 스크립트를 작성해서 실행 해보자 ! 저는 .bat 형식으로 스크립트를 작성해서 실행했습니다. W-01 Administrator 계정 이름 변경 또는 보안성 강화@echo offchcp 949 > nul 2>&1  REM 한국어 코드 페이지 설정 echo ==========================echo W-01 Administrator 계정 이름 변경 또는 보안성 강화 점검echo ==========================echo. REM Administrator 계정 정보 확인net user Administrator > temp.txt REM 계정이 존재하는지 확..

실습실습 목표 : 칼리에서 Hydra를 이용한 Password Guessing 공격을 수행하여 윈도우 Credential 획득, 획득한 Credential을 가지고 칼리에서 윈도우에 RDP 접속 실습 환경 : 칼리 VM, 윈도우 VM1  같은 로컬 네트워크라고 가정 먼저 윈도우의 ip 정보와 포트 상태를 확인을 한다.3389 번 포트는 RDP 포트 ( 원격접속 ) 인데 open 상태 인것을 확인!   일단 Admiinistrator 에게 hydra를 이용해서 시도너무 쉬운 비밀번호라 한번에 성공,,    칼리의 xfreerdp 명령어를 통해서 RDP 연결에도 성공!  윈도우는 윈도우 디펜더가 잘되어 있기때문에 사실 쉽게 뚫리지 않는다.이번에는 실습을위해 로컬네트워크라는 가정과 방화벽을 꺼두고 진행을 하였..

실습 실습 목표 : kail 에서 비교적 취약한 CJU VM 에 침투후 Lateral Movement 하여 Goal VM 에 있는 flag 를 획득해라실습 환경 : CJU VM 과 Gaol VM 은 알파인 리눅스 CJU VM IP : 192.168.93.137 힌트 : CVE-2024-1086 , 숨겨진 역사    https://github.com/Notselwyn/CVE-2024-1086?tab=readme-ov-file GitHub - Notselwyn/CVE-2024-1086: Universal local privilege escalation Proof-of-Concept exploit for CVE-2024-1086, working on moUniversal local privilege escal..

DNS 스푸핑DNS 스푸핑은 실제 DNS 서버보다 빨리 공격 대상에게  DNS Response 패킷을 보내, 공격 대상이 잘못된 IP 주소로 웹 접속을 하도록 유도하는 공격이다.      실습환경공격자 시스템 : 칼리 리눅스공격 대상 시스템 : 윈도우 2012모조 웹사이트 시스템 : 윈도우 서버 IIS필요 프로그램 : arpspoof , fragrouter , dnsspoof 1.  DNS 스푸핑 파일(dns.hosts) 설정하기네이버와 구글 사이트의 DNS Query에 대해 192.168.93.136 으로 DNS Response를 보내도록 추가한다.  2. ARP 스푸핑과 패킷 릴레이 실행하기클라이언트에서 구글의 MAC 주소를 알아내기 위해 패킷을 보낼 때 공격자 시스템을 지나도록 ARP 스푸핑을 실행..

상황리눅스 서버에 침투하여 victim1,2,3 계정의 패스워드 해시를 탈취하였다.victim1 , victim2, victim3 각각 계정의 패스워드를 얻어내시오주어진 힌트  ● --wordlist●우리나라  시작먼저 크래킹을 하기위해 passwd 파일과 shadow 파일을 저장한다그후 unshadow 로 passwd 와 shadow 파일을 합쳐 > cracking 곧바로 john the ripper 로 크랙 시도 > 실패 (당연한 결과)주어진 힌트의 우리나라를 이용해 NordPass (Korea) 통계를 이용하여 passwd.list 를작성작성된 list 를 이용하여 크랙 재시도 (wordlist 옵션은 john the ripper 가 비밀번호를 추측하기 위해 사용되는 파일)victim1 ,victi..