[Bee-box] Broken Auth. - Password Attacks

이번 포스팅은 'Broken Auth. - Weak Passwords' 입니다.

 

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요.

 

---

 

비밀번호 사전 대입 공격

 

비밀번호 사전 대입 공격(weak password)은 무차별 대입 공격과 비슷해 보이지만,

비밀번호를 설정하는 사람들이 선호하는 문자열을 대입하는 공격이다. 

인증 과정의 암호화가 복잡하여도 사용자가 설정하는 비밀번호가 간단하다면 공격자는 다른사용자로 쉽게 로그인

할 수 있다. 이는 사용자들이 외우기 쉬운 문자열을 설정하기 때문이다. 

 

따라서 사용자들이 가장 즐겨 쓰는 비밀번호를 마치 사전처럼 기록한, 파일에 있는 문자열을 하나씩 대입하여 공격을

시도한다. 문자열을 하나씩 대입하여 공격 결과를 확인하기 때문에 무차별 대입 공격에 비해 공격속도가 확실히 빠르긴

하지만 사전 파일에 만일 패스워드 정보가 없다면, 이 공격은 실패하게 된다.

 

---

패스워드 공격 방법의 종류는 몇가지 더 있고 아래 주소를 참고해주세요.

(정보보안기사, 산업기사 등을 공부하실 때 실기 주관식으로 가끔 나오는 것 같더라고요)

m.blog.naver.com/PostView.nhn?blogId=nologout&logNo=129139200&proxyReferer=https:%2F%2Fwww.google.com%2F

 

공격을 실습하기 전, 사전 공격에 사용할 목록 파일을 다운로드 받기 위해

잠시, fuzzdb에 대해 소개하도록 하겠다.

---

 

FuzzDB란?

 

FuzzDB란 퍼징에 사용되는 입력 값을 모은 데이터 베이스이다.

여기서 퍼징(Fuzzing)이란 악의적인 입력 값을 주입하여 취약점 여부를 찾는 기법이다.

특히 FuzzDB는 국가나 사용 환경에 따라 다른 입력 값을 제공하고, 사용자나 관리자가 주로 사용하는 이름을 저장하고 있어서 디렉터리나 파일명, 아이디와 비밀번호를 퍼징으로 찾을 때 유용하게 사용된다.

 

FuzzDB는 공격 패턴, 예측 가능한 리소스 이름, 흥미로운 서버 응답을 식별하기위한 정규식 패턴 및 문서 리소스의 오픈 소스 데이터베이스입니다. 웹 애플리케이션의 보안을 테스트하는 데 가장 자주 사용되지만 다른 많은 경우에도 유용 할 수 있습니다. FuzzDB는 수년간 내 개인 문서 및 연구 노트로 시작하여 점차 현재의 형태로 발전했습니다.

 

 

https://blog.mozilla.org/security/2013/08/16/introducing-fuzzdb/

 

사전공격에 사용할 비밀번호 목록 파일을 다운로드한다.

실습에 사용할 목록 파일은 'FuzzDB'안에 있으므로, github.com/fuzzdb-project/fuzzdb > 이 사이트를 이용하면 된다.

 

 

 

 

깃허브 사이트 주소로 이동 후,  Code -> Download Zip 으로 zip파일을 받아준다.

 

압축 해제를 할때 악성코드(바이러스)로 인식해서 삭제 할 수 있으니, 백신(window defender)을 끄거나,

예외 설정을 해주어야 한다.

 

 

 

(저같은경우는 크롬에서 먼저 1차로 차단 하길래 설정들어가서 잠시 허용했습니다)

 

 

저기 보안 들어가서 설정 해주시면 됩니다..

 

 

4번이나 차단 당하고 됐슴다.^^..

 

 

 

맨위 실시간 보호 즉 윈도우 디펜더를 잠시 꺼주고, 다운로드 받으면 된다.

 

 

 

다운로드 후 압축을 풀어준다.

 

 

 

text파일을 찾아서 사용할 건데, 경로는 

C:\Users\User\Downloads\fuzzdb-master\wordlists-user-passwd\passwds\phpbb.txt

(위 경로는 제 경우고, 자신이 다운로드한 경로에서 따라가시면 됩니다.)

 

 

공격 실습 시작

 

---

난이도 하, 중

 

 

문제 접속

 

 

bee/bug로 로그인 해봤는데 안됨.

사전 대입 공격 start

 

프록시 켜두기(자신의 컴퓨터 서버에서)

 

 

 

버프슈트를 켜서 proxy로 요청을 가로채고 intruder로 전송한다.

lucete1230-cyberpolice.tistory.com/171?category=851757

>>저번 글에서 버프슈트 사용법을 설명 해놓았다.(옵션 및 기능도) 

 

 

 

 

1. 프록시 응답 옵션 설정

2. beebox (요청) --> 요청 가로채기

3. 오른쪽 마우스 (send to intruder) 클릭 --> intruder로 전송

 

 

 

 

프록시에서 intruder로 이동한다.

positions로 들어가보면 여러 페이로드들이 지정되있고, 오른쪽에 clear로 다 지워준 후 

add를 이용해서 login, password에만 타입을 지정해준다.

 

 

 

아이디와 패스워드 둘다 모르는 상태이므로, 두 변수에 사전 공격을 하기 위하여 cluster bomb로 지정해준다.

 

 

 

 

다음으론 payloads에 들어가서, sets설정을 해준다.

1, 2 둘다 심플리스트 타입으로 지정해주고, 아래 payload options에다가 load를 통해

위에서 다운받은 text파일을 넣어준다.

 

 

 

 

1,2 둘다 넣어준다.(화면은 비교하라고 합쳐놓은 것)

 

설정이 완료되면 start attack을 클릭

 

 

 

사전 대입 공격 스타뜨..

 

총 text파일 내에 단어 수가 1840000개인데, 하나씩 다 대입 해보므로

공격하는데에 시간이 너무 많이 소요되어서 기다리다가....ㅎ...

 

그냥 먼저 변화를 확인해보겠다.

 

 

 

length부분을 보면 정답인 경우 실패일 때와 다르게 다른 반응을 보인다.

test/test가 대입되자 length값이 바뀐 것을 확인 할 수 있다.

 

 

test 입력 시 

로그인에 성공하였다고 뜬다.

 

공격 성공

 

---

 

대응방안

 

취약한비밀번호를 통하여 일어나는 보안 문제는 회원가입할 때 비밀번호 유효성 검사를 통하여 방지할 수 있다.

사용자 비밀번호에 특수문자, 숫자, 영문이 포함되었는지 정규 표현식을 사용하여 검사한다.

클라이언트 스크립트(javascript, VBScript..)에서 처리하면 우호할 수 있으므로, 꼭 서버사이드 스크립트에서 처리하여야 한다. PHP에서는 "preg_match" 함수를 사용하여 비밀번호의 길이를 지정하거나 특수문자, 숫자, 영문이 포함되었는지 검사한다.

 

 

---

 

preg_match 함수는 los문제풀이에서도 보셨겠지만, 이 함수는 정규식 표현을 위해 사용하는 함수입니다.

ponyozzang.tistory.com/176

위 블로그를 참고해주세요.

 

하여튼 아래와 같이 비밀번호 정규식을 사용해서 대응하면 됩니다.

 

if(!preg_match('/^(?=.*\d)(?=.*[A-Za-z])[0-9A-Za-z!@#$%]{8,20}$/', $password)) {
  echo '올바른 비밀번호가 아닙니다. 비밀번호를 다시 입력해주세요!';
}

 

정규 표현식을 알고싶다면 ?

lucete1230-cyberpolice.tistory.com/44?category=855726