본문 바로가기

해킹-보안

VMware에 BeeBox 설치하기

반응형

ி bee-box란


웹 애플리케이션에서 자주 발생하는 취약점을 구축한 환경을 bWAPP이라고 한다.

풀어서 buggy Web Application이라고도 하는데 이때 buggy란
버그의 형용사로서 말 그대로 웹 애플리케이션에 버그, 곧 취약점을 뜻한다.

bee-box는 bWAPP의 설치와 설정을 모두 완료하여 설치 없이
바로 활용할 수 있도록 만들어진 CD이다.
beebox를 쓰는 경우 ISO로 설치하지 않고 만들어진 이미지를 불러온다.

bee-box 가상 환경에 모의 침투하여 해킹 기법을 연습할 수 있고
취약점은 국제 웹 보안 표준 기구인 OWASP TOP 10 기준이다.
쉽게 말해 bee-box는
OWASP 취약점이 반영된 모의 해킹 연습 사이트라고 생각하면 된다.
비슷한 연습용 사이트로 WebGoat가 있고,
웹 사이트에서 운영되는 사이트는 webhacking.kr이 대표적이다.



ி bee-box 환경 구성



https://sourceforge.net/projects/bwapp/files/bee-box/
위 사이트에서 만들어진 이미지를 그대로 쓰려면 bee-box,
직접 환경 구축을 해서 쓰려면 bWAPP을 설치하는데 이 포스팅에서는 bee-box를 설치한다. 

(사실 설치라는 말보다는 불러온다는 개념이  더 강하다)


비박스를 다운받았다면 VMware에서 [File]에 [Open]을 눌러서 bee-box의 이미지를 불러온다.


이미지를 로딩하여 뜨는 메시지에서

I Copied It을 눌러 넘겨준다.


비박스를 부팅하면 초기 언어 설정이 Belgium(벨기에)로 고정되어있어서
숫자나 꺽세같은 기호들이 제대로 입력되지 않는다.

한국어 키보드로 설정하려면 [System] -> [Preferences]에 [Keyboard]로 들어가서 
한국어를 추가하고 Belgium을 Remove를 눌러 제거한다.



이제 비박스 바탕화면에 있는 bWAPP start를 실행한다.
bee-box의 아이디와 비밀번호는 bee/bug이고 root 비밀번호도 bug이다.
로그인 버튼 위에 보이는 보안 레벨은
문제의 난이도를 나타내는데 등급별로 law,medium,high 가 있다.



로그인 하고 나서 아래 보이는 것처럼 다양한 취약점을 실습할 수 있다.


비박스는 자체 사이트뿐만 아니라 터미널도 취약하다.

env x='() { :;}; echo vulnerable' bash -c "echo test"
위 명령을 입력했을 때 vulnerable라는 메시지가 같이 출력되면
배시 버그를 이용한 셸쇼크 공격이 가능하다.
비박스는 모의 침투 환경에 걸맞게 취약점이 개방된 환경에서
실습을 진행할 수 있다.

비박스가 가지는 장점은 실습해볼 수 있는 컨텐츠의 양이 매우 많다는 것이다.
그런데 힌트가 없어서 취약점 개념과 이해가 없다면 문제 푸는 데 시간이 오래 걸린다.

모의 해킹할 때는 비박스뿐만 아니라
칼리 리눅스(Kali Linux)와 버프 스위트(Burp suite) 도구 등을 적절히 사용하여
실습을 병행하는 것이 중요할 것이다.






반응형