칼리 24

Kali Linux 2022.1 Release

2022년 2월 14일에 Kali Linux 2022.1이 릴리즈 되었습니다. 이번 릴리스에서는 기존 기능에 대한 다양한 시각적 업데이트 및 조정을 제공 합니다. 이번 릴리즈의 변경 사항은 아래와 같습니다. Visual Refresh : 업데이트된 월페이퍼 및 GRUB 테마 셸 프롬프트 변경 : 코드를 복사할 때 가독성을 개선하기 위한 시각적 개선 Refreshed Browser Landing Page : Kali 내부에 제공되는 기본 랜딩 페이지의 새로운 모습 제공 Kali Everything Image : Kali의 모든 도구를 사전 설치 해야 하는 사용자를 위해 완전한 오프라인 독립형 이미지 (ISO) 를 사용할 수 있습니다. kali-tweaks 강화 : Kali의 SSH 클라이언트를 Wide C..

[Web Vulnerability Scanners] Arachni on Kali Linux - (3. arachni_web - Profile 메뉴)

2. Profiles 메뉴Profiles 메뉴는 웹 취약점 점검을 진행할 때 원하는 취약점만 골라서 Profile 형태로 만들때 사용하는 메뉴이다. Profile 메뉴는 아래와 같이 하위 메뉴로 구성 되어 있으며, 기본적으로 Default, Cross-Site Scripting(XSS), SQL Injection 프로파일이 생성되어 있다. Profiles 메뉴를 클릭하면, 아래와 같이 Profiles 메뉴 메인화면이 나타나며, 메인 화면에는 Profile 생성 및 가져오기, 생성된 Profile들을 확인 할 수 있다. Profile을 생성하기에 앞서 [New Profiles] 하단에 존재하는 탭에 대해 알아보자. [New Profiles] 하단에 존재하는 탭은 Yours, Shared, Global, O..

[Web Vulnerability Scanners] Arachni on Kali Linux - (2. arachni_web - Scans 메뉴)

arachni_web에 대해서 알아서보자. arachni_web은 웹 취약점 스캔 관리, 문제 검토 및 협업을 위한 플랫폼 역할을 하는 웹 사용자 인터페이스를 제공한다. arachni_web은 모든 브라우저를 지원한다. arachni_web을 사용하기 위해서는 커맨드창에서 arachni_web을 입력한다. 정상적으로 arachni_web이 실행 되면 아래와 같이 웹 서버가 실행된다. root@DarkSoul:~# arachni_web >> Thin web server (v1.5.1 codename Straight Razor) >> Maximum connections set to 1024 >> Listening on 0.0.0.0:9292, CTRL+C to stop 웹 서버가 실행되면 브라우저에서 htt..

[Web Vulnerability Scanners] Arachni on Kali Linux - (1. Install)

1. 개요 Arachni는 웹 응용 프로그램의 보안을 평가하는 데 도움을 주는것을 목표로 하고 있다. Arachni는 루비언어로 작성되었으며, 오픈 소스, 모듈로 구성된 고성능 프레임워크이다. Arachni는 다른 스캐너와 달리 웹 응용 프로그램의 동적 분석을 통해, 웹 어플리케이션의 경로를 이동하면서 발생하는 변화를 감지 하고 그에 따라 Arachni 자신을 조정할 수 있다. 마지막으로, 스크립팅 된 감사를 가능하게하는 Ruby 라이브러리, 간단한 명령줄 스캐너 유틸리티등을 지원하는 다중 유저 다중 스캔 웹 공동작업 플랫폼(multi-user multi-scan web collaboration platform)이다. Arachni는 아래의 필수적인 패키지가 설치되어 있는 모든 * nix 환경에서 실행된..

Kali Linux Mirror 설정

Kali Linux는 공식적으로 아래와 같이 3개의 Repositories (저장소)를 가지고 있다. 메인 패키지 저장소 http.kali.org (미러리스트 보기) 보안 패키지 저장소 security.kali.org (미러리스트 보기) ISO 이미지 저장소 cdimage.kali.org (미러리스트 보기) 위에서 언급한 3개의 호스트를 사용하면 자동으로 최신임이 보증되어 apt-get upgrade / apt-get update 명령어를 사용하면, 사용자와 가장 가까운 미러 사이트로 이동된다. 만약 자동이 아닌 수동으로 미러를 선택할 경우 위 호스트 옆에 미러리스트 보기 링크를 클릭하여 사용자가 미러를 선택후, /etc/apt/sources.list 파일을 열어 편집을 해야 한다. 하지만, /etc/a..

[Web Vulnerability Scanners] W3AF On Kail Linux - (4. W3AF GUI)

[./w3af_gui]를 입력하면, 아래와 같이 W3AF 로고 출력 및 누락된 업데이트가 존재하는지 확인 작업을 진행한다. 업데이트 확인은 시간이 조금 걸리니 여유를 가지고 기다려보기 바란다. 업데이트 확인이 끝나면 아래와 같이 메인화면이 나타난다. 운영체제 패키지 및 모듈 설치 과정을 W3AF 콘솔에서 언급한것 같이 모두 진행 하였어도 W3AF GUI를 실행 시켰을 때 아래와 같은 에러 메시지를 출력해 주는 경우가 존재한다. 위 내용은 pip를 사용하여 누락 된 운영체제 패키지와 나머지 모듈을 설치하라는 내용으로, 친절하게 설치 방법까지 출력해준다. [sudo ~ phply]까지 복사하여, 그대로 붙여 넣기하여 사용한다. 누락된 내용을 추가 설치한 후 W3AF GUI를 실행 시키면, 정상적으로 사용이 ..

[Web Vulnerability Scanners] W3AF On Kail Linux - (3. 커맨드 플러그인)

이제 부터 W3AF의 각 플러그인의 쓰임새에 대해 알아보자. ① output 플러그인output 플러그인은 스캔 결과를 저장하기 위해 사용하는 플러그인으로, 저장 포맷은 xml / text / csv 등을 지원한다. 참고로, 스캔 결과에 대해 자세한 리포트를 원할 경우 verbose 파라메터 값을 Ture로 설정해준다. [set verbose Ture] ② grep 플러그인grep 플러그인은 대상 웹 어플리케이션에 대해 모든 요청과 응답을 분석하여, 에러(Errors) 쿠키(Cookies) 이메일(E-mail) 설명(comments)등의 유용한 정보를 찾을때 사용한다. ③ bruteforce 플러그인bruteforce 플러그인은 기본적인 HTTP 로그인 / 로그인 폼을 대상으로 무차별 대입 공격 (Bru..

[Web Vulnerability Scanners] W3AF On Kail Linux - (2. 커맨드 기본 사용법)

콘솔 실행 명령어를 입력하면, 몇초 동안 W3AF 콘솔이 동작하지 않는것 처럼 보일 수 있다. 하지만 눈에 보이지 않을 뿐 정상적으로 빌드를 하고 있는 것이기에 잠시 여유를 가지고 기다리자. W3AF 콘솔이 빌드가 완료되면 위에서 보듯이 명령어를 입력할 수 있는 프롬프트 [w3af>>> ] 가 생성된다. 명령어 프롬프트가 생성되었다. 이상태에서 우리는 w3af 콘솔에서 사용가능한 명령어가 어떤것이 있는지 알지 못하기 때문에 [help]명령어를 입력하여, 사용가능한 명령어 리스트를 확인하자. 참고로 [help] 명령어는 여기서만 사용할 수 있는것이 아니라 다른 명령어들과 같이 사용이 가능하다. 명령어 사용 방법이 궁금하다면 언제든지 [help] 명령어를 입력하기 바란다. 출력된 명령어들은 W3AF 콘솔을 ..

[Web Vulnerability Scanners] W3AF On Kail Linux - (1.개념)

개요 W3AF는 웹 응용 프로그램의 공격 및 감사 프레임 워크이다. W3AF 프로젝트의 목표는 모든 웹 어플리케이션의 취약점을 발견하고, 발견된 취약점이 악용되기 전에 웹 응용 프로그램을 보호할 수 있도록 하기 위해 만들어졌다. W3AF는 SQL 인젝션, 크로스 사이트 스크립팅, 추측 가능한 인증(Guessable credentials), 처리되지 않은 응용 프로그램 오류, PHP 설정 실수 같은 취약점을 식별한다. 테스트 환경 운영 체제 (OS) : Kali Linux 1.0.3 W3AF 버전 : v1.5 Kali Linux 1.0버전에서는 W3AF (W3AF 버전 1.1)이 정상적으로 동작하지만, Kali Linux 1.0.3 버전으로 업데이트되면서 W3AF도 1.2버전으로 업데이트되었다. Kali ..

[Web Applications - OSINT Analysis] Jigsaw On Kali Linux

개요 Royce Davis (R3dy)와 humble-desser의 공동 프로젝트로 진행된 루비 스크립트 이다. Jigsaw의 사용 용도는 목표로 선택한 회사의 간단한 직원 정보(Email, 이름)를 열거할때 사용된다. 이는 Social Engineering 이나 E-mail 피싱에 사용이 가능하다. Jigsaw는 http://www.jigsaw.com 의 서비스를 이용하여, 사용자가 원하는 정보를 획득한다. 테스트 환경 운영 체제 (OS) : Kali Linux jigsaw 버전 : 1.3 상세 분석 Jigsaw는 BackTrack5 R3 버전 1.0에서 Kali Linux로 넘어오면서 버전 1.3으로 버전업이 되었다.버전 1.0과 버전 1.3을 비교해보면, [-d] / [-u] / [-p]옵션이 더 ..