주변 컴퓨터 웹 사이트 접속 id / password 가로채기

** 아래 포스팅은 교육적인 목적으로 작성되었습니다. 함부로 이용하는 경우 법적인 문제가 발생할 수 있습니다. 

ARP Spoofing을 이용한 웹 사이트 id / password가로채기 

아래 공격은 공격자가 kali linux(Attacker)를 이용해서 Windows(Victim)을 공격하는 시나리오 입니다. 

사용된 방법은 arp spoofing이라는 공격 기법으로, 현재 사용할 수 있는 공격입니다. 

다만, 사이트에서 어느 정도로 보안만 해 놨으면, 현재 공격법으로는 가로챌 수는 없습니다. 

그래도 아래 위험성을 보시고 주의를 하시는 것이 좋겠습니다. 

1. Kali linux를 부팅해서 네트워크에 진입을 시킵니다. 

2. 커맨드 창을 열어서 아래 명령어를 입력합니다. 

 # arpspoof -t [target ip] [gateway ip] 

3. 다른 커맨드 창을 열어서 다음 명령어를 입력합니다. 

# fragrouter -B1

이 상태가 되면, 위와 같던 정상적인 상태가, 아래와 같은 상태가 됩니다.

이 PC는 Gateway(192.168.108.2 / 00-50-56-e1-ea-63 ) 를 사용하여 외부와 통신하고 있었는데, 

arp spoofing을 당하여, Attacker의 PC(192.168.108.129 / 00-0c-29-9c-14-a6) 를 Gateway(192.168.108.2 / 00-0c-29-9c-14-a6)로 인식하게 되었습니다. 

공격자가 192.168.108.129  IP를 쓰고 있었는데,  갑자기 들어 와서, 자기가 Gateway 이니깐, 자기에게 정보를 보내서 인터넷을 하라고 하는 것입니다. 

그래서, 네트워크 정보가 주위에 변동이 생긴 것입니다. 

4. 다른 커맨드 창을 열어서 wireshark를 실행합니다. 

# wireshark

상대방이 특정 웹사이트에 로그인을 하게 되면, wireshark에 잡힙니다. 

Ctrl + F 를 눌러서 "Auth" 라고 입력해서 찾아 봅니다. 아래 보면, id와 패스워드가 디코드 되어 나옵니다. 

 해당 페이지의 id는 kisa, password는 kisa 라는 것을 알 수 있습니다. 

11

해당 코드는 http://decodebase64.com 에서 확인하실 수 있습니다. 

깔끔하게 id / password가 나옵니다. ^^