170417 WireShark & Kali 실습(ARP, MITM 스푸핑)

1. wireshark 

오픈소스 패킷캡쳐 프로그램으로 네트워크에 돌아다니는 패킷의 정보를 볼 수 있다.

보안수준이 낮은 웹의 경우 이것 하나만으로도 로그인시 입력되는 아이디 비밀번호를 확인할 수 있다.

(그냥 스니핑이 된다는말)

이처럼 패킷에는 사용자의 정보, 페이지의 정보등 여러 정보를 담고있다. 

http.request.method==GET을 사용하면 자신이 받은 패킷에 대한 정보를 확인 할 수 있다.

2. Kali

여러 해킹 기능을 제공하는 툴이다.

이 툴을 이용해 스푸핑을 해보았다.

※ VM ware에서 실습한 것.. 혹여 공공장소에서 이용시 범죄가 될 수 있습니다. 가상환경에서 하세요

ARP스푸핑

 : 상대방과 게이트웨이의 통신을 가로챌수 있다.

1. 하나의 가상장치에 win XP 설치

2. xp의 IP와 gateway를 이용.

arpspoof -t 상대방 ip 상대방gateway를 입력

물리적주소가 한곳으로 향하는 것을 볼 수 있다. 어떤 쿼리든 모두 저 주소로 날아가기 때문에 웹을 이용하지도 못하게됨.

MITM(man in the middle) Attack

: 네트워크 통신을 조작하여 내용을 도청하거나 조작하는 공격.

ARP Spoofing + Packet Forwading

tool : ettercap, dsniff, arpspoof, fragrouter

ettercap -T -M arp:remote //victim ip/ //gateway ip/  etterfilter -0 filter.elf filter.el    el = 코드파일    elf = 필터파일  ettercap -T -M arp:remote -F filter.elf //victim ip/ //gateway ip/

코드 파일을 컴파일해서 넘어오는 패킷의 정보에서 변경하고싶은 데이터를 색출하고 내용을 변경 할 수 있다.

vi로 fil 파일을 만들엇다. 확장자는 아무거나 상관없다고함. 리눅스는 확장자가 없다나

DATA.data에 있는 내용중 joker를 sorry로 바꿔준다.

컴파일 해주자

arp:remote가 돌아가는동안은 해당 pc는 el파일에 컴파일한대로 돌아갈 것이다.

joker를 입력했지만 연관검색어가 sorry!로 나온다

스푸핑을 당한 녀석은 검색버튼을 클릭하면 sorry!로 검색이된다.

el파일에 이런식으로 코드를 작성하면 태그를 변경시켜 줄 수도있다.

이런식으로 DATA.data에서 태그를 찾아내고 그 부분에 변경내용을 삽입해주면 

웹페이지에서 반응함을 확인 할 수 있었다.

스크립트문이 되니 당연히 이미지 파일도 바꿔질것. 

웹에있는 그림의 링크주소를 따서 img src의 주소를 바꿔치기 했다.

간지나는 조커형님 그림

이런식으로 바꿔치기가 된다. 이쪽 태그는 iframe이지만 img나 같은방식으로 쓰면될듯