모의해킹(Penetration Testing) PortScanner 4. 취약한 공격 대상 만들기

4.   취약한 공격 대상 만들기

 

  우리는 공격을 할 대상이 필요하다. 실제로 서비스하는 서버를 대상으로 스캔하는 것은 법에 위반되니 우리 스스로 공격할 대상을 만들도록 한다. 절대 실제 서비스에 공격하는 일은 없도록 하자.

 

아래의 링크를 통하여 Virtual Box와 Metasploitable2 이미지를 다운로드 하자.

 

 

 

Oracle VM VirtualBox

 

: https://www.virtualbox.org/wiki/Downloads

 

Metasploitable2

 

: http://sourceforge.net/projects/metasploitable/files/Metasploitable2/

 

 

 

Virtual Box는 가상화 프로그램으로 Oracle에서 무료로 제공하고 있다. 우리는 이것을 사용하여 다른 장비들 없이 한 컴퓨터로 여러 가상 환경들을 구축할 수 있다.

 

Metasploitable2는 연구와 학습을 목적으로 취약점이 설정되어 있는 서비스를 가진 VM 이미지이다. Metasploitable2를 사용하면 여러 공격을 해볼 수 있는 실습환경을 아주 쉽게 구성할 수 있다.

 

다음 가이드를 따라 Virtual Box와 Metasploitable 2를 설치 및 실행하자.

 

 

 

• VMware Workstation을 사용 중이라면 Virtual Box 인스톨 없이 바로 Metasploitable2를 다운로드 받아 실행하면 된다. 그러나 VMware는 유료이기 때문에 여기서는 Virtual Box로 환경을 구축하겠다.

 

 

 

1)    Virtual Box 인스톨 가이드

 

위에서 제공한 사이트를 통하여 Virtual Box installer를 다운로드하자. 윈도우 환경을 중심으로 설명하겠다.

 

 

그림 https://www.virtualbox.org/wiki/Downloads

 

 

 

모든 설치는 기본값으로 진행하여 마지막엔 자동으로 Virtual Box를 실행한다.

 

 

 

 

그림 설치 완료 화면

 

 

 

Virtual Box가 정상적으로 설치되었다!

 

 

 

2)    Metasploitable2 인스톨 가이드

 

위에서 제공한 소스포지 사이트를 통하여 Metasploitable2를 다운로드하자.

 

 

 

 

그림 Metaploitable2 다운로드

 

 

 

Metasploitable2의 압축을 해제 한 뒤, Vitual Box를 실행하여 새로 만들기를 클릭하자.

 

 

그림 metasploitable2 install step 1

 

 

 

 다음과 같이 입력한 후 다음으로 넘어간다.

 

 

 

 

그림 metasploitable2 install step 2

 

 

 

메모리의 크기는 256MB로 내버려두면 된다.

 

 

 

 

그림 metasploitable2 install step 3

 

 

 

아래 그림에서 <기존 가상 하드드라이브 파일 사용>을 체크한 후 오른쪽 아이콘을 사용하여 metasploitable의 압축 폴더 내의 Metasploitable.vmdk 파일 불러오자. 그리고 만들기를 클릭한다.

 

 

 

 

그림 metasploitable2 install step 4

 

 

 

  Metasploitable2의 설치가 종료되었다. 이제 환경 설정 후 실행만이 남았다.

 

 

 

3)    Metasploitable2 환경 설정 및 실행

 

 

 

환경 설정을 들어가면 여러 설정을 할 수 있다.

 

 

 

 

그림 환경 설정 및 실행 step 1

 

 

 

 

 

 

그림 환경 설정 및 실행 step 2

 

 

 

여러분이 특수키를 직접 지정할 수 있다. 디폴트 값으로는 오른쪽 Alt키가 설정되어 있으나, 필자의 노트북에는 오른쪽 Alt키가 없어 윈도우 키로 설정하였다. 여러분이 원하는 키를 설정하되 꼭 기억하도록 하자.

 

 

 

• 필수 암기 사항

 

위에서 지정한 host 조합 키를 사용하여 Virtual Box 밖으로 탈출할 수 있다. Metasploitable2 사용이 끝난 후 마우스 포인터를 밖으로 벗어나게 하고 싶다면 호스트 키를 누르면 된다.

 

 

 

이제 Metasploitable2를 실행하도록 하자!

 

 

 

 

그림 환경 설정 및 실행 step 3

 

 

 

 만약 실행 시 이런 화면이 뜨는 분들은 CPU 설정을 바꿔야 한다.

 

 

 

 

그림 환경 설정 및 실행 - 에러 화면

 

 

 

오류가 발생한다면 다음 그림과 같은 방법으로 전원을 먼저 끈 후에 설정을 들어가보자.

 

 

 

 

그림 환경 설정 및 실행 에러화면 – 전원 끄기

 

 

 

 

 

 

그림 환경 설정 및 실행 에러화면 – 시스템 설정

 

 

 

설정 – 시스템 – 프로세서로 들어가면 확장된 기능을 사용할 수 있다. 이것을 클릭하면 metasploitable2가 정상 동작할 것이다. 설정을 완료한 뒤 다시 시작 버튼을 클릭하자.

 

 

 

 

그림 환경 설정 및 실행 – CPU 설정 변경

 

 

 

부팅이 완료된 후 아래와 같은 화면이 출력되었다면 성공적으로 metasploit2를 실행한 것이다. 지금까지 따라오느라 수고 많았다. 이제 로그인하여 IP 주소가 무엇인지 알아보면 metasplotable2에서 할 일은 끝난다.

 

ID와 Password를 입력하자. ID와 Password는 모두 msfadmin이다. 비밀번호가 입력되지 않는다고 걱정할 필요 없다. 원래 리눅스 환경에서는 비밀번호 타이핑 시 아무것도 출력되지 않는다. 무시하고 그냥 msfadmin을 적으면 된다.

 

 

 

 

그림 환경 설정 및 실행 step 4 – 실행 완료

 

 

 

성공적으로 접속했다면 쉘이 떨어질 것이다. 여기에 “ifconfig”를 입력하면 IP를 확인할 수 있다. 실습 환경마다 Virtual Box의 DHCP 서버가 IP를 할당해주므로 각 환경에 따라 IP가 다를 것이다. 여기서는 192.168.157.133이다. 필요하다면 메모를 해두는 것도 좋다.

 

 

 

 

그림 환경 설정 및 실행 step 5 - ip 조회

 

 

 

이것으로 희생자 측 구성이 완료되었다!

 

마지막으로 시스템을 종료하는 방법만 배우고 이번 챕터를 마무리하자. 실습이 끝난 뒤 시스템을 종료할 때 필요할 것이다.

 

쉘에 “sudo su – “를 입력하면 관리자 권한으로 권한 상승할 수 있다. 패스워드는 “msfadmin”으로 동일하다. ‘#’이라는 쉘이 떨어졌다면 halt를 입력하자.

 

root@metaploitable:~# halt

 

 

 

시스템 종료가 완료되면 “System halted”라는 문구가 뜬다. 마지막의 전원은 수동으로 내려주면 된다.

 

[출처] https://m.blog.naver.com/isc0304/220373631914