- [Linux] Server-Side Attack으로 권한 취득하기 #1 (백도어 취약점 공격 / 원격 접속) 에 이어서 두번째다. [Linux] Server-Side Attack으로 권한 취득하기 #1 (백도어 취약점 공격 / 원격 접속) - [Linux] Server-Side Attack의 시작 (정보 수집 / 취약점 검색) 를 이어서 본격적으로 진행한다. - 이전 글에서도 정보 수집 후 취약점을 발견하여 액세스 권한을 얻었다. - 이번엔 서비스의 백도어 취약 a-gyuuuu.tistory.com - 이번에는 코드 실행 취약점을 이용하여 서버에 침투하려고 한다. - 대상 컴퓨터에 백도어가 있는 취약점이 아닌 버퍼 오퍼플로우나 코드 실행 취약점을 가지고 있는 프로그램을 공격한다. - 짧은 코드를 실행..

- [Linux] Server-Side Attack의 시작 (정보 수집 / 취약점 검색) 를 이어서 본격적으로 진행한다. - 이전 글에서도 정보 수집 후 취약점을 발견하여 액세스 권한을 얻었다. - 이번엔 서비스의 백도어 취약점을 바탕으로 서버의 전체 액세스 권한 탈취한다. [Server-Side Attack으로 권한 취득하기#1] 1. 서비스 취약점 검색 - vsftpd는 Very Secure File Transfer Protocol Daemon의 약자. - 보안이 취약한 FTP에 보안을 추가한 파일 전송 프로토콜 - TCP/IP 프로토콜을 기반으로 데이터를 송수신 - 보안을 강조한 서비스이더라도 취약점은 존재할 수 있으니 해당 버전을 찾아보려고 한다. - 검색 결과 vsftpd 2.3.4 버전의 배포..

- 컴퓨터(서버)를 공격하는 방법은 다양하다. - 그 공격방법을 모색하기 위해서는 공격 대상자에 대한 정보 수집이 필요하다. - 정보 수집 항목 또한 다양하다. - 운영 체제 서비스 포트 설치된 프로그램 - 백도어 및 서비스 취약점 - 서비스를 잘못 설정한 경우 - 위와 같이 다양한 정보 수집을 시작으로 공격이 진행된다. - 정보 수집 후 서버를 공격하는 것은 권한을 취득하기 위한 것이 목적이다. - 이러한 공격을 직접 해보고 테스트 용도로 만들어진 서버가 있다. - Metasploit이라고 불리우며, 알려진 취약점들로 구성된 서버다. Metasploit | Penetration Testing Software, Pen Testing Security | Metasploit Find security issu..