반응형
ி bee-box란
웹 애플리케이션에서 자주 발생하는 취약점을 구축한 환경을 bWAPP이라고 한다.
버그의 형용사로서 말 그대로 웹 애플리케이션에 버그, 곧 취약점을 뜻한다.
bee-box는 bWAPP의 설치와 설정을 모두 완료하여 설치 없이 바로 활용할 수 있도록 만들어진 CD이다.
beebox를 쓰는 경우 ISO로 설치하지 않고 만들어진 이미지를 불러온다.
bee-box 가상 환경에 모의 침투하여 해킹 기법을 연습할 수 있고 취약점은 국제 웹 보안 표준 기구인 OWASP TOP 10 기준이다.
쉽게 말해 bee-box는
OWASP 취약점이 반영된 모의 해킹 연습 사이트라고 생각하면 된다.
비슷한 연습용 사이트로 WebGoat가 있고,
웹 사이트에서 운영되는 사이트는 webhacking.kr이 대표적이다.
ி bee-box 환경 구성
https://sourceforge.net/projects/bwapp/files/bee-box/
위 사이트에서 만들어진 이미지를 그대로 쓰려면 bee-box,
직접 환경 구축을 해서 쓰려면 bWAPP을 설치하는데 이 포스팅에서는 bee-box를 설치한다.
(사실 설치라는 말보다는 불러온다는 개념이 더 강하다)
비박스를 다운받았다면 VMware에서 [File]에 [Open]을 눌러서 bee-box의 이미지를 불러온다.
이미지를 로딩하여 뜨는 메시지에서
I Copied It을 눌러 넘겨준다.
비박스를 부팅하면 초기 언어 설정이 Belgium(벨기에)로 고정되어있어서
숫자나 꺽세같은 기호들이 제대로 입력되지 않는다.
한국어 키보드로 설정하려면 [System] -> [Preferences]에 [Keyboard]로 들어가서
한국어를 추가하고 Belgium을 Remove를 눌러 제거한다.
이제 비박스 바탕화면에 있는
이제 비박스 바탕화면에 있는
bWAPP start를 실행한다.bee-box의 아이디와 비밀번호는 bee/bug이고 root 비밀번호도 bug이다.로그인 버튼 위에 보이는 보안 레벨은
문제의 난이도를 나타내는데 등급별로
law,medium,high 가 있다.
로그인 하고 나서 아래 보이는 것처럼 다양한 취약점을 실습할 수 있다.
비박스는 자체 사이트뿐만 아니라 터미널도 취약하다.
env x='() { :;}; echo vulnerable' bash -c "echo test"
위 명령을 입력했을 때 vulnerable라는 메시지가 같이 출력되면
배시 버그를 이용한 셸쇼크 공격이 가능하다.
비박스는 모의 침투 환경에 걸맞게 취약점이 개방된 환경에서
실습을 진행할 수 있다.
비박스가 가지는 장점은 실습해볼 수 있는 컨텐츠의 양이 매우 많다는 것이다.
그런데 힌트가 없어서 취약점 개념과 이해가 없다면 문제 푸는 데 시간이 오래 걸린다.
모의 해킹할 때는 비박스뿐만 아니라
칼리 리눅스(Kali Linux)와 버프 스위트(Burp suite) 도구 등을 적절히 사용하여
실습을 병행하는 것이 중요할 것이다.
반응형
'해킹-보안' 카테고리의 다른 글
| 메타스플로잇(Metasploit)을 활용한 취약점 공격 (0) | 2020.05.18 |
|---|---|
| MS-Office의 DDE 기능을 악용한 악성코드 (1) | 2020.05.14 |
| Apache mod_evasive를 이용한 DOS 차단 방법 (0) | 2020.04.27 |
| 윈도우10 샌드박스 사용하기 (0) | 2020.04.22 |
| 인터넷 주소를 잘못치고 들어가면 생기는 일 (4) | 2020.04.16 |
