[SK shieldus 새싹 성동1기] Snort

ubuntu 접속

초기 비번은 아이디와 동일 

터미널 접속

sudo su
ip ad # 우분투 ip 확인
ping kali ip # kali 와 통신이 정상적인지 확인 
apt update
apt install mousepad -y
apt install snort -y

 

cd /etc/snort/

mousepad snort.conf
#아까 apt install mousepad를 했기 때문에 mousepad 사용가능
#파일 수정 기능

그리고

 

이런 창이 뜨면 Remind Me later .. 설치하면 귀찮아진다

 

암튼 /etc/snort/snort.conf의 파일을 수정해야하는데

step 1 : 변수 설정

step7 에서 로컬 룰만 남기고 삭제 후 저장

step7 주황색 삭제

 

 

저장 후 나가면

 

 

 

cd rules
mv local.rules ../
rm *
mv ../local.rules .
# 아마 로컬rules만 남기려고 파일 내보내고 전부 지우고 다시 놓는 것 
mousepad local.rules 
#파일 내 수정
alert icmp any any -> any (msg:"ICMP TEST";sid:100001;)

snort -c /etc/snort/rules/local.rules # 실행

 

local.rules 파일  수정

snort -c -v /etc/snort/rules/local.rules
# 오류뜨길래 -v 빼고
snort -c /etc/snort/rules/local.rules

 

 

Kali에서 Ubuntu 로 ping 보내고 Ubuntu 에서 확인

보내지는 것 확인하면 

ctrl+c 눌러서 종료하고 

alert log 확인

cd /var/log/snort
cat alert

 

sid : 100001

msg : icmp test

time : 12/12

옵션 :echo

 

kali에 파일 올리고 서버를 열어서

python3 -m http.server 8080

 

우분투에서 다운

cd /home/ubuntu
wget http://192.168.232.132:8080/ex.7z	
#kali ip
wget http://192.168.232.132:8080/"bin(sonrt).zip 
#kali ip

 

받은 파일 압축 풀기

 

test1~test6확인 가능

우분투에서 서버를 열고

python3 -m httpserver 80

칼리에서 다운로드하기

wget ubuntu ip /test1

image 파일 2개 생성 후 kali로 옮겨주고

xxd -y 입력해서 설치

xxd img1.png|more

 

xxd test1| more

53 49  47 00 -> S I G

 

 

강사님이 주신 local 문제 풀어보기 

snort 실행 명령어 와 local 파일을 열어서 문제점을 수정하자

snort -c local.rules -A full -l ./ -r mx-1.pcap

mousepad local-1.rules
#1~7까지 열어보면서 풀어보자

exercise 1

any any (msg:)  : any 와 msg 사이에 띄어쓰기 있어야한다. 

 

 

local2  목적지가 완벽하지 않음 

local3 sid 중복 

local4 

세미콜론 sid 중복 

local5

local6

 

local6 원본

강사님이 수정해주신 것

local7

Snort 실행은 문제 없는데 hex값을 확인해 뭐하는 파일인지   msg 알림에 넣어야할 필요가 있다. 

msg

이건 다시 확인 

 

task 7

칼리 리눅스에서 task7 와이어샤크로 열기

smb는 공유폴더

 

빨간색 요청 패킷

파란색 서버가 받아내주는 정보

이렇게 찾으면서 전형적인 폴더를 찾는게 중

검색창에서 ctrl-f 

IPC가 뜨면 취약점이다.

 

TASK 7

445 PORT OR ANY 대부분 

FLOW : 

ESTABLISHED : 실제와 연결된 패킷이 있을 때 확인을 하겠다.

CONTENT : IPC 탐지 하는 것 확인 

-A 는 LOG를 남겨준

로그 확인 

로그의 패킷 내용 확인 가능 

log.txt 파일 확인

mousepad 로 ipc 파일 확인

RCE라고 하는 취약점 cve는 주기적으로 해당 취약점 내용 숙지가 필요하다 .

RCE는 많이 발생하는 것은 아님 

REMOTE CPDE EXECUTE (HIGH >> 10)

 

KISA 침해사고 

취약점을 주기적 확인하면 좋을 것 같다.

 

TASK8 풀어보자

 

alert 26 

logged26 

해당 로그 기록되는 것을 텍스트로 남긴다 바꾸는 이유는 2번 문제를위해

잉 마우스 패드로 안열림 ..

사실 txt로 확인할 필요없이 

snort로 확인 가능했다

ls 로 본인 로그  -X넣어서 확인하자

해당 패킷의 IP ID

공격자의 ID 수집 가능 해당 로그에서 IP (문제6)

 

WIRE SHARK에서 BASE 64 확인 후 해당 코드 확인 

리눅스로 넘어가서 

CAT ALERT 로 SID 값 확인 

제일 먼저 출력된 것으로 찾기

PORT 전송확인

아 오타...

DSIZE 770크고 855보단 작다냥:10000

 

 

뭐가 있네..

 

ㅅㄱㄷㄴ DLTKDDHQTUS

THRESHOLD 위협을 감지하겠다:ㅅㄱㅁ치

출발지를 보겠다

COUNT 2 : 2개를 보겠다 

SECONDS 1: 1초에 동일한

SNORT 탐지

KALI

다시 돌아가서 LOCAL RULES 의 TRACK BY를 더 신경써보자

Track by_src : 동일한 출발지 :dos(스캐닝)

Track by_dst : 동일한 목적지:ddos(N:1) 

DDOS

한 서버로 과하게 들어오는 것을 확인하면 DDOS 탐지가 가능ㅎ다ㅏ.

 

FLAG 옵션 

 

어 강사님 따로 파일 만드셨네 .. 나도 나중에 수정

 

ALERT 대신에 DROP했을때 (HEADER 수정)

drop처리 했기 때문에 alert는 확인 못하고  drop 나온

snort -r local.rules ./ -V -A full