보안프로젝트 매거진
책 소개
취약점 점검과 모의해킹을 도와주는 모듈화된 오픈소스 프레임워크인 메타스플로잇을 시험하기 위한 목적으로 만들어진 메타스플로잇터블3를 분석한다. 메타스플로잇을 시험하는 목적이 아닌 메타스플로잇터블3에 존재하는 취약점을 이해하고 분석하는 데 목적을 두었다.
출판사 서평
메타스플로잇 공격 프레임워크는 모의해킹 과정에서도 많이 활용할 수 있으며, 해킹/IT보안을 학습할 때 매우 유용하다. 이것을 테스트 하기 위한 목적으로 MetasploitableV2, V3를 많이 선택한다. 버전3 대상으로 정보수집부터 심화 분석까지 다루는 책을 기획했으며, 그 1부를 시작한다. 정기적으로 시리즈로 출판이 될 것이며, 모의해킹 학습하는데 큰 도움이 되리라 생각한다.
저자 소개
저자 - 김태영
보안프로젝트( www.boanproject.com) 에서 모의해킹 장기 과정을 통해 모의 해킹에 입문하였다. 강원대학교 컴퓨터과학을 수석으로 졸업하고, 현재 보안프로젝트에서 선임 컨설턴트로 모의해킹, 보안 기술 연구를 하고 있다. 주요 저서는 <Nmap NSE 스크립트를 이용한 모의해킹 활용편 - 모의해킹 시리즈 12>가 있다.
감수 - 조정원
감수를 맡은 조정원은 보안프로젝트( www.boanproject.com ) 대표로 활동하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 하였고, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스코드 진단 등 다양한 영역에서 취약점 진단을 수행하였다. 이후 KTH 보안 팀에서 모바일 서비스, 클라우드 서비스 보안, 침해사고 대응 업무를 하였고, KB투자증권에서 보안 업무를 담당했다. 주요 저서로는 <실무자가 말하는 모의해킹>, <비박스를 활용한 웹 모의해킹 완벽실습>, <버프스위트 활용과 웹 모의해킹>, <워드프레스 플러그인 취약점 분석과 모의해킹>(이상 한빛미디어, 2015), <IT엔지니어의 투잡, 책내기>, <IT엔지니어로 사는법 1>(이상 비팬북스, 2015), <안드로이드 모바일 앱 모의해킹>, <안드로이드 모바일 악성코드와 모의해킹 진단>, <칼리리눅스를 활용한 모의해킹>(이상 에이콘출판사, 2014), <모의해킹이란 무엇인가>(위키북스, 2014), <디지털 포렌식의 세계>(인포더북스, 2014), <크래커 잡는 명탐정 해커>(성안당, 2010) 등이 있으며, 보안프로젝트 멤버들과 함께 다양한 영역에서 활동하고 있다.
목차
01 들어가며 9
02 메타스플로잇터블3 환경 이해 13
2.1 소개 13
2.2 메타스플로잇터블2와 3의 차이점 15
03 환경 구축 준비 17
3.1 필요한 도구 17
3.2 버추얼박스 18
3.2.1 설치 방법 18
3.2.2 확장 팩 설치 21
3.3 베이그런트(Vagrant) 이해 및 설치 24
3.4 패커(Packer) 이해 및 설치 27
3.5 메타스플로잇터블3 설치 29
04 실습 환경 구축 단계 33
4.1 메타스플로잇터블3 환경 구축 33
4.1.1 방화벽 해제 43
4.1.2 SNMP 서비스 실행 44
4.2 버추얼박스 네트워크 설정 49
4.3 칼리 리눅스 환경 구축 56
05 정보 수집 단계 65
5.1 Nmap을 이용한 포트 스캔 65
5.1.1 TCP 포트 스캔 66
5.1.2 UDP 포트 스캔 67
5.2 네서스(Nessus)를 이용한 취약점 분석 71
5.2.1 설치 방법 72
5.2.2 취약점 스캔 81
06 메타스플로잇 살펴보기 89
6.1 전체 구조 이해 89
6.2 msfconsole 실습 91
07 ElasticSearch 취약점 분석 사례 106
7.1 엘라스틱서치 서비스 개요 106
7.2 취약점 분석 107
7.2.1. 정보 수집 107
7.2.2 CVE-2014-3120 취약점 확인 110
7.2.3 취약점 발생 원리 111
7.3 공격 실습 112
7.3.1 실습 개요 112
7.3.2 자동 진단 112
7.3.3 수동 진단 120
7.4 대응방안 126