패킷 검사2

두번째 시나리오다. 이번에는 아래와 같은 것들을 알아내야 한다.

 

1.공격에 성공한 공격자의 ip
2.공격자 이외 서비스에 접근한 ip
3.공격자가 시스템에 침투하기 위해 접근한 서비스 포트
4.공격자가 이용한 취약점
5.공격자가 리버스 공격을 위해 사용한 포트
6.공격자가 올린 웹쉘의 이름
7.공격자가 웹쉘을 올린 뒤에 사용한 명령어들

 

 

파일 업로드 및 그림 파일 전송이 있었음을 알 수 있다

 

 

line-based text data는  wireshark 검색에서 'data-text-lines'를 치면 된다. 133이 154에게 긴 패킷을 제공했다

 

 

counter에서 무작위 공격은 하지 않았음을 알 수 있다

 

 

133이 서비스를 제공했음을 알 수 있다. 즉, 133이 공격당했다

 

 

shell 공격을 한 흔적이 보인다

 

 

/attack/shell.jsp?sort=1&dir=%2Fvar%2Flib%2Ftomcat5.5%2Fwebapps

을 url 디코딩하면

/attack/shell.jsp?sort=1&dir=/var/lib/tomcat5.5/webapps

와 같다. 따라서

dir=/var/lib/tomcat5.5/webapps

에 공격 파일을 업로드 했다.

 

 

ip.dst==192.168.206.133 and tcp.port==8180로 검색 후 'upload' 키워드로 찾기. 152가 소스이므로 152를 이번엔 주의깊게 보자

 

 

tcp stream에서 8180포트에 접속함을 알 수 있다. 저장하자

 

 

열어보니 shell.jsp을 찾을 수 있었다

 

파일 attack과 backdoor도 확인 가능

 

 

'command=' 검색으로 실행 명령어 확인

 

 

두 번째 실행 명령어 확인

 

 

파일 attack.war를 다운받기 / 아래 빨간박스를 우클릭 export packet으로 시작하는 것을 누르면 다운된다

 

 

압축 푼 후 virustotal에서 검사했더니 webshell 공격을 했다

 

 

object list에서 파일명 shell.jsp를 검색 대상으로 패킷 번호 확인 가능

 

 

tcp stream에서 명령어 nc로 bin/sh에 접속 backdoor port는 8989임을 확인 가능

 

 

정리해보자.

 

1.공격에 성공한 공격자의 ip

192.168.206.152

2.공격자 이외 서비스에 접근한 ip

192.168.206.154

3.공격자가 시스템에 침투하기 위해 접근한 서비스 포트

8180

4.공격자가 이용한 취약점

 tomcat 5.5에서 기본적인 계정을 통해 접근하는 취약점

5.공격자가 리버스 공격을 위해 사용한 포트

8989

6.공격자가 올린 웹쉘의 이름

shell.jsp

7.공격자가 웹쉘을 올린 뒤에 사용한 명령어들

ls -al, ps -aux