1. 홈브루 설치

2. 명령어 때리기, brew install john

3. 참고하기
hompage : https://formulae.brew.sh/formula/john, https://www.openwall.com/john/

linux passwd crack

john {대상} --format=crypt > yscript 인경우 $y

중략..

해시캣(hashcat)은 패스워드 크랙 도구다.

소개 : https://hashcat.net/hashcat/

점검을 할때 주로 쓰는 도구는 해시캣이랑 존더리퍼이다.
이친구도 주로 쓴다 : https://crackstation.net/

1. 설치

맥북기준 homebrew를 설치해준다.

설치 : https://brew.sh/index_ko

그리고 링크 참조해서 설치한다.(https://formulae.brew.sh/formula/hashcat)

명령어는 아래와 같다.

brew install hashcat

hashcat 주요 명령어

hashcat -a {어택모드} -m {해쉬타입} {대상} -o result.txt

ex> sha256타입일 경우, 크랙스테이션에 한번 때려보거나, 길이 체크하고
"https://hashcat.net/wiki/doku.php?id=example_hashes"에서 유형 본다음에 아래의 명령어를 준다.

hashcat -a 3 -m 1400 "961B6DD3EDE3CB8ECBAACBD68DE040CD78EB2ED5889130CCEB4C49268EA4D506" -o aaa.txt

[요약 : 브루트포스 모드, sha256, 암호크랙후 aaa.txt로 추출]

custom

Note: if you do not specify any mask while performing a mask attack (-a 3), then the following default mask is used:  ?1?2?2?2?2?2?2?3?3?3?3?d?d?d?d

기본 설정값이 ?1?2?2?2?2?2?2?3?3?3?3?d?d?d?d 란다 아래 참고해서 하자

- [ Built-in Charsets ] -

  ? | Charset
 ===+=========
  l | abcdefghijklmnopqrstuvwxyz [a-z]
  u | ABCDEFGHIJKLMNOPQRSTUVWXYZ [A-Z]
  d | 0123456789                 [0-9]
  h | 0123456789abcdef           [0-9a-f]
  H | 0123456789ABCDEF           [0-9A-F]
  s |  !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
  a | ?l?u?d?s
  b | 0x00 - 0xff

hashcat 명령어 및 설명 사이트

https://hashcat.net/wiki/doku.php?id=hashcat > 명령어 종류 다 알려줌
https://hashcat.net/wiki/doku.php?id=example_hashes > 해시 종류 다보여줌

끝

서버 점검을 하다 보면, 또는 운영 설정을 하다보면 또는 개발 설정을 하다보면

환경변수 등록이나 설정 확인 등 할일이 생긴다.

차이를 알아보ZA

[요약]

(A) Login Shell : ID/PW 입력해서 로그인 SSH, GUI 일반 로그인이 해당
(B) Non-Login SHell : 로그인 없이 실행, 즉 로그인 후 Shell을 띄우는거
ex) 윈도우 로그인 후, cmd 실행, 리눅스 로그인 후 터미널 실행, sudo/su 포함

1. .profile, A 상황에서 로드됨, bash/zsh/sh 상관없이 공통 적용이므로
PATH 등 로그인할때 바로 적용시키고 싶은 설정 입력

2. .bash_profile : A 상황에서 로드됨, bash 사용시 필요한 설정


3. . bashrc : B 상황에서 로드됨, bash 사용할때마다 로드

끝

ptime을 확인해서 패스워드 변경일자를 체크해보자

쿼리 및 결과

[쿼리]

SELECT name, ptime FROM sys.user$

[결과]

name:SYS, ptime:12-JUL-20
name:SYSTEM, ptime:10-MAR-21

​

[해석]

SYS 계정은 20년 july 12에 최종 패스 변경했고

SYSTEM 계정은 21년 MAR 10에 최종 패스워드 변경함

-끝-

점검을 하다보면 Sendmail 최신 버전을 체크해야될 때가 있다.

http://www.sendmail.org/ 사이트를 가면 최신 버전을 알 수 있다.

추가적으로 버전별 Release Date를 남겨본다.

=Release Notes=

Sendmail. 8.17.1. 2021-08-17
Sendmail. 8.16.1 2020-07-05
Sendmail-8.15.2 2015-07-03 
Sendmail-8.15.1 2014-12-06
Sendmail-8.14.9 2014-05-21
Sendmail-8.14.8 2014-01-26
Sendmail-8.14.7 2013-04-21
Sendmail-8.14.6 2012-12-23
Sendmail-8.14.5 2011-05-17
Sendmail-8.14.4 2009-12-30
Sendmail-8.14.3 2008-05-03
Sendmail-8.14.2 2007-11-01
Sendmail-8.14.1 2007-04-03
Sendmail-8.14.0 2007-01-31
Sendmail-8.13.0 2004-06-20
Sendmail-8.12.0 2001-09-08
Sendmail-8.11.0 2000-07-19
Sendmail-8.10.0 2000-03-01
Sendmail-8.9.0 1998-05-19
Sendmail-8.8.0 1996-09-26
Sendmail-8.7 1995-09-16
Sendmail-8.6 1993-10-05

인프라 점검을 하면

배너메시지 설정값을 봐야할 때가 있다.

근데 어떤건 설정되있고, 어떤건 안되있고, 어떤건 중요 정보가 있다.???!

무튼 위 파일의 용도를 적어본다.

/etc/issue

: 로컬 로그인 시, 로그인 전 출력되는 메시지 설정

/etc/issue.net

: 원격 로그인 시, 로그인 전 출력되는 메시지 설정

/etc/motd 

: 로그인 이후, 출력되는 메시지 설정

그렇다.

끝

사견임

test

imsi

hack

hacked

aa

지속적 추가 예정

점검하다보면 HP-UX 서버에서 관련 항목을 많이봄.(사이트 바이 사이트)

점검 시 헷갈리는 점은

무엇이 접근통제 미흡이냐.. 임

대부분 위 기준대로 하면됨

(CASE1) /etc/dfs/dfstab을 봄

*dfstab 파일 설정방법은 아래와 같음

 ================================================

share -F nfs -o rw, ro /공유폴더
share -F nfs -o rw=유저1:유저2, ro=유저3:유저4 /공유폴더

즉 읽기(read only), 쓰기(read/write) 권한에 각각 사용자를 설정해야
모두 제한 가능

=================================================

그러므로 rw, ro 설정을 통해 공유폴더의 접근통제가 잘 설정되어 있는지 체크하면된다.

p.s. 검증한적은 없다.

"#share -F nfs -o rw, ro /공유폴더" 과 같이 dfstab 내에 

공유 설정 내용이 주석처리되어 있거나, 없는 경우

everyone으로 공유되는 것이 아닌, 공유가 안되는 것으로 본다.

(구글 조사 결과임.. 추후 확인예정)

-끝이다-

참고사이트

https://ziscuffine.tistory.com/158

*포인트1 : FTP 서비스 사용 여부 체크

(ps -ef / netstat)

*포인트2 : Anonymous(익명) 접속 허용 여부 체크

(e.g. /etc/ftpd/ftpaccess(HP-UX), 등)

*양호/취약 판별

[예시1] class   all   real,guest,anonymous   * -> 취약

[설명]

전체를 대상으로 (class 이름 all)
하기 방식 허용
===================
접속 계정이 있음(real)
Guest로 접속(guest)
익명으로 접속(anonymous)
===================
모든 호스트로 부터 접속을 허용(*)

그렇다면 어떻게 익명 접속 제한 하는가?

[예시2] class   all   real,guest   * -> anonymous 제거

끝(아래는 참고자료)

서버진단을 하다 안하다하면

내용이 가물가물할 때가 있다.

(생략)

리눅스/유닉스에서 동일한 UID를 사용하는 계정이 있을 경우 취약으로 잡는 항목이다.

WHY?

UID가 동일한 계정이 여러개 있으면, 다른 계정이더라도 시스템이 동일한 사용자로 인식한다.

고로 타 계정 소유의 파일/디렉터리로 접근/사용이 가능하고, 추후 로그/시스템 분석 시

확인이 어려워 질 수 있다.

점검방법?

/etc/passwd 파일 확인한다.

동일한 UID가 있는지 체크한다.

실제로 점검하다보면 종종 있는 케이스인데.

왜 발생하는지는 까먹었다.

(.. 예전에 알았을 때 적어놓을거를..)

기억이 나면 적어놔야겠다.

-끝-