웹 해킹 #3 (테스트베드 구축 with Kali/Metasploitable)

 

1. 준비물

---

웹사이트에 대한 모의 침투 테스트(Penetration testing)를 실습하기 위해 다음의 것들이 필요합니다.

• Kali Linux: 공격자 역할을 할 PC
• Metasploitable: 타겟 사이트를 띄울 웹 서버

 

2. Kali Linux

---

Kali Linux는 리눅스 배포판의 한 버전으로, 보안 연구, 컴퓨터 포렌식, 그리고 리버스 엔지니어링과 같은 작업에 필요한 수십 가지의 도구들이 내장되어 있습니다.

 

Kali를 가장 쉽게 구축하는 방법은 가상머신(VM) 형태로 프리-빌드(Pre-build)된 이미지를 활용하는 것입니다.

아래 링크로 들어가, 사용하는 가상 머신 플랫폼에 맞게 VMware 또는 VirtualBox용 이미지를 다운받습니다.

 

https://www.kali.org/get-kali/#kali-virtual-machines

Get Kali | Kali Linux

 

VirtualBox용 이미지를 기준으로 설명드리면, 우선 다운 받은 압축 파일을 풀고

 

VirtualBox 상단 추가(A)탭을 클릭하여 .vbox 확장자로 끝나는 파일을 선택합니다.

 

 

설정(S) 버튼을 클릭하고 네트워크 탭으로 들어가 ‘호스트 전용 어댑터’로 된 네트워크 인터페이스를 추가합니다.

 

여기까지 준비를 마치면, 별도의 설치 프로세스 없이 바로 Kali Linux를 이용할 수 있습니다.

 

3. Metasploitable

---

이제 공격 타겟이 될 웹사이트가 있어야겠죠. 그러나, 네이버나 쿠팡 같은 실제 사이트를 시험해보겠다고 해킹 도구를 막 다뤘다가는 험한 꼴을 당할 수 있습니다. 개인이 직접 취약 사이트를 구축하고 이것저것 실험해보는 것이 바람직하겠죠.

 

그런 면에서 유용한 도구가 Metasploitable입니다. Metasploitable은 온갖 웹 해킹 공격에 대한 취약점이 노출된 웹사이트가 구축되어 있고, 동시에 이를 공략하는 튜토리얼 문서들을 제공합니다.

 

OWASP Top 10에 속하는 SQL Injection, XSS를 비롯한 여러 공격들을 재현해볼 수 있고, 웹사이트 측의 원본 php 코드를 제공하여 취약점이 발생하는 부분과 개선 방안 등을 확인해볼 수 있습니다.

 

Metasploitable 설치 파일은 아래 주소에 있습니다.

https://sourceforge.net/projects/metasploitable/

Metasploitable

 

설치 파일의 내용물을 살펴보면, .vmdk 형태의 OS와 테스트 도구들이 미리 탑재된 가상 하드디스크 드라이브 파일이 존재합니다.

 

VirtualBox에서 Linux 유형의 VM 인스턴스를 생성하고, 해당 하드디스크 드라이브를 연결하여 곧바로 Metasploitable을 VM에 올리는 작업을 하게 될텐데요.

 

상단의 새로 만들기(N) 탭을 클릭하고 OS 종류는 Linux로 설정합니다.

 

메모리 설정을 하고,

 

‘Use an Existing Virtual Hard Disk File’ 선택하여

 

다운로드 받은 .vmdk 파일을 추가합니다.

 

Kali 때와 마찬가지로 로컬에서 통신하기 위한 네트워크 인터페이스를 추가해주어야 하는데요.. 어댑터 1 항목에 기본적으로 설정된 NAT를 ‘호스트 전용 어댑터’로 변경합니다.

 

VM을 작동시키면 짧은 시간동안 추가 패키지를 설치하고 시스템 로그인 화면으로 전환됩니다.

 

로그인 정보는 아래와 같습니다.

ID : msfadmin
password: msfadmin

 

정상 접속 이후, ifconfig를 이용하여 Metasploitable에 접속할 수 있는 IP 주소를 확인합니다.

 

Kali Linux에서 브라우저를 열고 찾은 IP 주소를 검색해봅니다. 아래와 같은 화면이 나타나면 설치가 성공적으로 마무리된 것입니다.