38일차(2) SSH

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다.

  게시된 내용들은 잘 알려져있는 기술들입니다. 따라서  악용하더라도 쉽게 적발되니

  절대 악용해서는 안됩니다.

-------------------------------------------------------------------------------------------------

SSH MiTM Attack

SSH2도 얼마전에 뚫렸다고 한다. SSH3가 나오지 않을까

중간에 MITM 환경을 만들어 버전 1을 사용하게끔 유도 하는 공격이 가능하다.

SSH v2 제외하고는 공격 대상이 된다.

공격 과정은 아래와 같다.

동작 방식이 어떻게 되는지 살펴보겠다.

vi /etc/ssh/sshd_config 

15번째 줄 Protocol 1

후 서비스 재시작

XP 에서 PuTTY 연결

SSH Ver1 과 Ver2의 키가 다르다

SSH 클라이언트는 새로운 키를 받으면 이러한 경고창이 뜨게 된다.

만약에 기존환경을 바꾸지 않았는데 이런 창이 뜬다면 공격을 받고 있다는 반증이다.

1.5라는 정보가 보인다 즉 버전 1

공개키가 보인다.

/etc/ssh/sshd_config 의 protocol 값을 2로 바꾼다면 어떻게 될까

공개키 부분이 사라진다.

이번엔 2,1 이다.

서버 쪽에서 1.99가 보인다

only는 그것만 되는것이고

가운데 두개는 선호하는 것을 선택하는 것이다.

공격

백트랙에서 ettercap 툴을 활용해 MITM을 이용할 것이다.

서버에서 보내는 1.99 패킷을 1.5로 변경해서 타겟에게 포워딩 할 것이다.

그러므로 공격자는 패킷을 잡는 것 뿐만아니라 수정까지 해야한다.

filter라는 이름의 파일을 만들어서 조건을 만든다

하지만 

백트랙에서 제공하는 filter를 사용한다.

그다음 ettercap 에서 사용할 수 있게끔 컴파일을 해준다.

- 기존에 있는 파일을 현재위치로 복사

cp /usr/local/share/ettercap/etter.filter.ssh ./

- 컴파일

etterfilter etter.filter.ssh -o etter.filter.ssh.co 

- ettercap 실행

ettercap -T -M arp -F etter.filter.ssh.co /10.10.10.1/ /10.10.10.4/

이런메시지를 확인 할 수 있다.

안 뜰 수도 있다. 그럼 다시 해봐야한다. 툴이 완벽한 것은 아니기에

ver1로 낮췄기 때문에 , 평문 전송한 것이 보인다

* 만약 SSH 서버가 다른 네트워크에 있을 경우

1, Admin 과 GW MITM을 먼저 만든다.

2. ettercap SSH Target1 Admin

     Target2 SSH Server

* 방어책

서버에서 버전 2만 받게 설정.

MITM 못하게 arp spoofing 막기