'리눅스 시스템 운영' 카테고리의 글 목록 (3 Page)

메타스플로잇은 가장 널리 사용되는 모의 해킹과 개발 프레임워크로, 취약점과 익스플로잇을 찾아내서 개발하는데 가장 널리 쓰이는 도구

메타스플로잇 프레임워크의 유용한 기능 중 하나는 프레임워크에 포함된 모듈과 도구를 커맨드라인에서 실행이 가능하다.

익스플로잇 정의 ??

익스플로잇(Exploit)이란 소프트웨어, 하드웨어 및 전자제품들의 버그 혹은 제조, 프로그래밍 과정에서 발생한 취약한 부분을 이용하여 정상 동작이 아닌 공격자가 의도한 동작이나 명령을 실행하도록 만든 명령어를 지칭하거나, 그러한 공격행위를 가리킵니다.

익스플로잇은 소프트웨어나 하드웨어 등의 버그나 취약점을 이용한 공격인 만큼, 비교적 대규모로 이루어 지며, 특정 타겟 뿐만 아니라 불특정 다수에게도 무차별적으로 공격을 가합니다. 보편적인 예로, 불특정 다수에게 익스플로잇 코드가 담긴 첨부파일(그림,문서 등)과 함께 흥미를 끌만한 제목으로 메일을 보냅니다. 만약 취약점이 패치가 되지 않은 OS나 SW를 사용하는 사용자가 그 메일에 담긴 첨부파일을 클릭하면, 첨부파일 안에 있던 명령 코드가 작동하면서 사용자의 컴퓨터를 공격하게 됩니다.

또한 알려지지 않은 취약점 또는 취약점이 새로 발견되었으나 아직 해당 취약점에 대한 패치가 이뤄지지 않은 제로데이 상황에서 익스플로잇 공격이 발생하는 경우가 종종 발생하는데, 이때는 공격대상이 되는 프로그램 제공업체가 배포한 임시패치를 설치하거나 익스플로잇 공격대상이 되는 서비스나 SW의 사용을 최대한 자제하는 것이 안전합니다.

익스플로잇 공격은 소프트웨어나 하드웨어 자체의 취약점을 이용한 공격이기 때문에 소프트웨어나 하드웨어 취약점이 이미 업데이트(패치)가 되어있는 사용자는 아무런 피해를 입지 않습니다. 또한 컴퓨터에 백신프로그램이 설치 되어 있다 해도, 프로그램에 관한 업데이트를 하지 않았더라면, 익스플로잇 공격을 100%막기에 한계가 있습니다.

출처 : https://www.estsecurity.com/securityCenter/commonSense/view/41 (알약)

메타익스플로잇은 다음과 같이 실행하게 됩니다. msfconsle을 입력하면 아래와 같이 msf 데몬에 접속 하게 됩니다.

root@choi:/# msfconsole

.,,. .

.\$$$$$L..,,==aaccaacc%#s$b. d8, d8P

d8P #$$$$$$$$$$$$$$$$$$$$$$$$$$$b. `BP d888888p

d888888P '7$$$$\""""''^^`` .7$$$|D*"'``` ?88'

d8bd8b.d8p d8888b ?88' d888b8b _.os#$|8*"` d8P ?8b 88P

88P`?P'?P d8b_,dP 88P d8P' ?88 .oaS###S*"` d8P d8888b $whi?88b 88b

d88 d8 ?8 88b 88b 88b ,88b .osS$$$$*" ?88,.d88b, d88 d8P' ?88 88P `?8b

d88' d88b 8b`?8888P'`?8b`?88P'.aS$$$$Q*"` `?88' ?88 ?88 88b d88 d88

.a#$$$$$$"` 88b d8P 88b`?8888P'

,s$$$$$$$"` 888888P' 88n _.,,,ass;:

.a$$$$$$$P` d88P' .,.ass%#S$$$$$$$$$$$$$$'

.a$###$$$P` _.,,-aqsc#SS$$$$$$$$$$$$$$$$$$$$$$$$$$'

,a$$###$$P` _.,-ass#S$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$####SSSS'

.a$$$$$$$$$$SSS$$$$$$$$$$$$$$$$$$$$$$$$$$$$SS##==--""''^^/$$$$$$'

_______________________________________________________________ ,&$$$$$$'_____

ll&&$$$$'

.;;lll&&&&'

...;;lllll&'

......;;;llll;;;....

` ......;;;;... . .

=[ metasploit v4.16.59-dev ]

+ -- --=[ 1769 exploits - 1008 auxiliary - 307 post ]

+ -- --=[ 537 payloads - 41 encoders - 10 nops ]

+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp ]

msf >

메타스플로잇은 사용자가 지정하는 실행모드에 따라 다양한 방식으로 실행된다. 실행 모드에 따라 모듈에 관한 다양한 정보를 얻을 수 있다. 실행모드에 따라 모듈에 관한 정보를 얻을 수 있다.

root@choi:/usr/share# msfconsole -x "use exploit/windows/smb/ms08_067_netapi;show info"

Name: MS08-067 Microsoft Server Service Relative Path Stack Corruption

Module: exploit/windows/smb/ms08_067_netapi

Platform: Windows

Arch:

Privileged: Yes

License: Metasploit Framework License (BSD)

Rank: Great

Disclosed: 2008-10-28

Provided by:

hdm <x@hdm.io>

Brett Moore <brett.moore@insomniasec.com>

frank2 <frank2@dc949.org>

jduck <jduck@metasploit.com>

Available targets:

Id Name

-- ----

0 Automatic Targeting

1 Windows 2000 Universal

2 Windows XP SP0/SP1 Universal

3 Windows 2003 SP0 Universal

4 Windows XP SP2 English (AlwaysOn NX)

5 Windows XP SP2 English (NX)

6 Windows XP SP3 English (AlwaysOn NX)

7 Windows XP SP3 English (NX)

8 Windows XP SP2 Arabic (NX)

9 Windows XP SP2 Chinese - Traditional / Taiwan (NX)

10 Windows XP SP2 Chinese - Simplified (NX)

11 Windows XP SP2 Chinese - Traditional (NX)

12 Windows XP SP2 Czech (NX)

13 Windows XP SP2 Danish (NX)

14 Windows XP SP2 German (NX)

15 Windows XP SP2 Greek (NX)

16 Windows XP SP2 Spanish (NX)

17 Windows XP SP2 Finnish (NX)

18 Windows XP SP2 French (NX)

19 Windows XP SP2 Hebrew (NX)

20 Windows XP SP2 Hungarian (NX)

21 Windows XP SP2 Italian (NX)

22 Windows XP SP2 Japanese (NX)

23 Windows XP SP2 Korean (NX)

24 Windows XP SP2 Dutch (NX)

25 Windows XP SP2 Norwegian (NX)

26 Windows XP SP2 Polish (NX)

27 Windows XP SP2 Portuguese - Brazilian (NX)

28 Windows XP SP2 Portuguese (NX)

29 Windows XP SP2 Russian (NX)

30 Windows XP SP2 Swedish (NX)

31 Windows XP SP2 Turkish (NX)

32 Windows XP SP3 Arabic (NX)

33 Windows XP SP3 Chinese - Traditional / Taiwan (NX)

34 Windows XP SP3 Chinese - Simplified (NX)

35 Windows XP SP3 Chinese - Traditional (NX)

36 Windows XP SP3 Czech (NX)

37 Windows XP SP3 Danish (NX)

38 Windows XP SP3 German (NX)

39 Windows XP SP3 Greek (NX)

40 Windows XP SP3 Spanish (NX)

41 Windows XP SP3 Finnish (NX)

42 Windows XP SP3 French (NX)

43 Windows XP SP3 Hebrew (NX)

44 Windows XP SP3 Hungarian (NX)

45 Windows XP SP3 Italian (NX)

46 Windows XP SP3 Japanese (NX)

47 Windows XP SP3 Korean (NX)

48 Windows XP SP3 Dutch (NX)

49 Windows XP SP3 Norwegian (NX)

50 Windows XP SP3 Polish (NX)

51 Windows XP SP3 Portuguese - Brazilian (NX)

52 Windows XP SP3 Portuguese (NX)

53 Windows XP SP3 Russian (NX)

54 Windows XP SP3 Swedish (NX)

55 Windows XP SP3 Turkish (NX)

56 Windows 2003 SP1 English (NO NX)

57 Windows 2003 SP1 English (NX)

58 Windows 2003 SP1 Japanese (NO NX)

59 Windows 2003 SP1 Spanish (NO NX)

60 Windows 2003 SP1 Spanish (NX)

61 Windows 2003 SP1 French (NO NX)

62 Windows 2003 SP1 French (NX)

63 Windows 2003 SP2 English (NO NX)

64 Windows 2003 SP2 English (NX)

65 Windows 2003 SP2 German (NO NX)

66 Windows 2003 SP2 German (NX)

67 Windows 2003 SP2 Portuguese - Brazilian (NX)

68 Windows 2003 SP2 Spanish (NO NX)

69 Windows 2003 SP2 Spanish (NX)

70 Windows 2003 SP2 Japanese (NO NX)

71 Windows 2003 SP2 French (NO NX)

72 Windows 2003 SP2 French (NX)

Basic options:

Name Current Setting Required Description

---- --------------- -------- -----------

RHOST yes The target address

RPORT 445 yes The SMB service port (TCP)

SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)

Payload information:

Space: 408

Avoid: 8 characters

Description:

This module exploits a parsing flaw in the path canonicalization

code of NetAPI32.dll through the Server Service. This module is

capable of bypassing NX on some operating systems and service packs.

The correct target must be used to prevent the Server Service (along

with a dozen others in the same process) from crashing. Windows XP

targets seem to handle multiple successful exploitation events, but

2003 targets will often crash or hang on subsequent attempts. This

is just the first version of this module, full support for NX bypass

on 2003, along with other platforms, is still in development.

References:

https://cvedetails.com/cve/CVE-2008-4250/

OSVDB (49243)

https://technet.microsoft.com/en-us/library/security/MS08-067

http://www.rapid7.com/vulndb/lookup/dcerpc-ms-netapi-netpathcanonicalize-dos

저작자표시 비영리 변경금지

'리눅스 시스템 운영 ' 카테고리의 다른 글

Objdump를 이용한 디스어셈블링 (0)	2018.07.10
메타스플로잇으로 취약점 점검하기 (0)	2018.07.09
NMAP을 이용한 타켓 탐색 (0)	2018.07.08
Arping을 이용한 호스트 발견 (0)	2018.07.08
네트워크 정보수집 - DNS 서버 질의 (dig, dnsmap) (0)	2018.07.05

로컬 네트워크상의 공격자들은 종종 ICMP를 악용하는데, 이는 ICMP가 보안을 전혀 고려하지 않고 설계된 프로토콜이다

ICMP 프로토콜을 이용한 라이브 호스트 탐색방법

namp -sm {옵션} [호스트주소 | 도메인명| CDIR 넷마스크 | IP 범위]

예) nmap -sn -v --reason 172.30.1.0/24

nmap -sn -v --reason 172.30.1.0-255

nmap -sn -v --reason 172.30.1.12

root@choi:~# nmap -sn -v --reason 172.30.1.22

Starting Nmap 7.70 ( https://nmap.org ) at 2018-07-08 21:39 KST

Initiating ARP Ping Scan at 21:39

Scanning 172.30.1.22 [1 port]

Completed ARP Ping Scan at 21:39, 0.33s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 21:39

Completed Parallel DNS resolution of 1 host. at 21:39, 0.37s elapsed

Nmap scan report for 172.30.1.22

Host is up, received arp-response (0.098s latency).

MAC Address: 00:00:00:00:00:00 (Microsoft)

Read data files from: /usr/bin/../share/nmap

Nmap done: 1 IP address (1 host up) scanned in 0.74 seconds

Raw packets sent: 2 (56B) | Rcvd: 1 (28B)

nmap 옵션

-sn : icmp 프로토콜을 사용하고 포트 스캐닝을 수행하지 않는다
--reason : 호스트 스캐닝 결과에 대한 이유를 출력하는 옵션
-PE : 핑에 사용되는 패킷인 ICMP 에코 요청을 사용
-PP : 타임스탬프 요청을 사용. 모의 해킹시 타임 스탬프 요청에 응답하는 호스트는 보통 취약함
기본설정을 변경하지 않았거나 취약하게 설정된 암호화 라이브러리는 시드값을 시스템시간을 활용
-PM : icmp 넷마스크 요청을 사용. 이 패킷은 원래 네트워크 엔지니어가 호스트의 네트워크 설정정보를 질의할 때 사용
-PS TCP SYN 플래그 스캔 : 호스트로 SYN 패킷을 전송한 후 응답 유모와 응답 내용에 따라 해당 호스트가 실제로 네트워크에 존재하는지 판단
-PA TCP ACK 플래그 스캔 : TCP ACK 플래그를 전송한 후 응답여부 등을 보고 호스트 존재 여부를 구별. 호스트는 TCP 프로토콜 표준을 엄격히 준수하며 RST 패킷을 이용해서 ACK 플래그가 설정된 패킷에 응답한다.
-PO IP 프로토콜 핑 : RST 플래그가 설정된 TCP 패킷을 리스닝하는 방식으로 타겟 호스트가 지원하는 프로토콜을 알아낸다. 이는 유효하지 않은 패킷을 수신하면 임의의 식별자로 프로토콜 번호를 설정한 패킷으로 응답하는 라이브 호스트가 존재하기 때문에 가능

저작자표시 비영리 변경금지

'리눅스 시스템 운영 ' 카테고리의 다른 글

메타스플로잇으로 취약점 점검하기 (0)	2018.07.09
익스플로잇과 리버스 엔지니어링 -메타스플로잇 (metasploit) (1) - 사용법 (0)	2018.07.09
Arping을 이용한 호스트 발견 (0)	2018.07.08
네트워크 정보수집 - DNS 서버 질의 (dig, dnsmap) (0)	2018.07.05
네트워크 정보 수집 - whois (0)	2018.07.05

Arping은 ARP나 ICMP 패킷을 생성해서 로컬 네트워크 상의 임의 호스트에 전송하는 도구

따라서 라이브 호스트를 탐색하는데 매우 유용하며 ICMP와 ARP 응답을 있는그대로 화면에 출력

arping [IP주소]

root@choi:~# arping 172.30.1.254

ARPING 172.30.1.254 from 172.30.1.47 eth0

Unicast reply from 172.30.1.254 [00:07:89:2D:6B:E2] 10.559ms

Unicast reply from 172.30.1.254 [00:07:89:2D:6B:E2] 10.611ms

Unicast reply from 172.30.1.254 [00:07:89:2D:6B:E2] 10.710ms

Unicast reply from 172.30.1.254 [00:07:89:2D:6B:E2] 10.634ms

Unicast reply from 172.30.1.254 [00:07:89:2D:6B:E2] 10.641ms

sent 5 probes (1 broadcast(s))

Received 5 response(s)

어떤 호스트에서 응답을 받았다면 해당 호스트가 네트워크 상에 존재할 확률은 매우 높으나 ARP 프로토콜은 부족한 암호화 가능 때문에 Arping의 실행결과를 보장할 수 는 없다

서브넷 상의 IP 목록을 탐색하고 싶을 때 사용하는 스크립트입니다.

arpsweep .sh 192.168 eth0

arp 옵션

-c [숫자] : 전송 요청 횟수
-d : 중복 응답을 찾아낸다. 네트워크 모니터링 시 매우 유용하게 사용 된다
ex) 다른 호스트의 MAC 주소를 수프핑 하는 호스트를 탐지 가능
-i : 인터페이스를 자동으로 검색하지 않고 지정된 것으로 사용
-p : 사용할 인터페이스의 무차별 모드를 활성화 해서 출발지 맥 주소를 변경 가능 ( 맥 스푸핑 가능)
-r : 결과를 가공하지 않고 있는 그대로 출력

저작자표시 비영리 변경금지

'리눅스 시스템 운영 ' 카테고리의 다른 글

익스플로잇과 리버스 엔지니어링 -메타스플로잇 (metasploit) (1) - 사용법 (0)	2018.07.09
NMAP을 이용한 타켓 탐색 (0)	2018.07.08
네트워크 정보수집 - DNS 서버 질의 (dig, dnsmap) (0)	2018.07.05
네트워크 정보 수집 - whois (0)	2018.07.05
FIND - 파일시스템 검색 (0)	2018.06.18

DNS서버는 컴퓨터가 사용하는 IP주소와 사람이 사용하는 도메인명을 맵핑하는 역할을 수행한다.

DNS서버에는 모의 해킹에 유용한 공개정보가 풍부하며 이를 바탕으로 공격 계획을 수립할 수 있다.

DIG 사용하기

dig는 만능 DNS 검색 도구로 이를 이용하면 IP 주소에 해당하는 여러 도메인과 관련된 모든 정보를 손쉽게 수집할 수 있다.

dig는 브라우저 같은 네트워크 애플리케이션이 전세계 곳곳의 DNS서버와 통신할 때 이용하는 질의를 수행한다.

dig [도메인명]

실제로 강조한 부분이 의미있는 결과로 naver의 주소이다

root@choi:~# dig naver.com

; <<>> DiG 9.11.3-1ubuntu1-Ubuntu <<>> naver.com

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8182

;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 65494

;; QUESTION SECTION:

;naver.com. IN A

;; ANSWER SECTION:

naver.com. 127 IN A 210.89.160.88

naver.com. 127 IN A 125.209.222.142

naver.com. 127 IN A 125.209.222.141

naver.com. 127 IN A 210.89.164.90

;; Query time: 2 msec

;; SERVER: 127.0.0.53#53(127.0.0.53)

;; WHEN: Thu Jul 05 22:11:14 KST 2018

;; MSG SIZE rcvd: 102

dig [도메인명] [유형]

root@choi:~# dig google.com -t MX

; <<>> DiG 9.11.3-1ubuntu1-Ubuntu <<>> google.com -t MX

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44491

;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 65494

;; QUESTION SECTION:

;google.com. IN MX

;; ANSWER SECTION:

google.com. 600 IN MX 10 aspmx.l.google.com.

google.com. 600 IN MX 20 alt1.aspmx.l.google.com.

google.com. 600 IN MX 40 alt3.aspmx.l.google.com.

google.com. 600 IN MX 30 alt2.aspmx.l.google.com.

google.com. 600 IN MX 50 alt4.aspmx.l.google.com.

;; Query time: 70 msec

;; SERVER: 127.0.0.53#53(127.0.0.53)

;; WHEN: Sun Jul 08 18:47:42 KST 2018

;; MSG SIZE rcvd: 147

DIG를 사용해서 검색할 수 있는 레코드 유형

A : 주소 레코드로 질의된 도메인과 맵핑된 IP 주소 목록
AAAA : IP 버전 6 주소 레코드
CNAME : 캐노니컬 네임 레코드로 명시된 도메인이 캐노니컬 레코드인 경우 도메인 명을 반환
이 옵션은 지정된 도메인이 다른 도메인을 의미하는 별칭인지, 해당도메인이 다른 도메인을 의미하는 별칭인지 알아 볼때 사용
MX : 메일 익스체인지 레코드로 지정된 도메인인의 메시지 전송 에이전트와 맵핑된 주소목록을 반환
PTR : 포인터 레코드로 역방향 DNS 검색시 종종 사용
SOA : 권한(authority) / 구역 (zone) 레코드의 시작 부분으로 지정된 도메인의 '대표권한' 도메인 서버에 관한 레코드를 반환
AXFR : 권한 구역 전달로 네잌 서버에게 해당 도메인과 관련된 모든 레코드를 반환하도록 요청
이 옵션은 상당한 양의 정보 노출 취약점을 야기하며 꽤 효과적인 서비스 거부 공격에 악용될 수 있다.

dig가 DNS 질의의 세부 결과는 생략한채 중요 정보, 즉 요청한 주소만 반환 하게 할 수 있다

dig [도메인 명] +short

root@choi:~# dig naver.com +short

125.209.222.141

210.89.160.88

210.89.164.90

125.209.222.142

dig에 -x 옵션을 지정하면 역방향 IP주소결정도 수행 가능합니다.

root@choi:~# dig -x 8.8.8.8

; <<>> DiG 9.11.3-1ubuntu1-Ubuntu <<>> -x 8.8.8.8

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30461

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 65494

;; QUESTION SECTION:

;8.8.8.8.in-addr.arpa. IN PTR

;; ANSWER SECTION:

8.8.8.8.in-addr.arpa. 65640 IN PTR google-public-dns-a.google.com.

;; Query time: 2 msec

;; SERVER: 127.0.0.53#53(127.0.0.53)

;; WHEN: Sun Jul 08 19:12:39 KST 2018

;; MSG SIZE rcvd: 93

DNSMAP 사용하기

dig나 whois 도구로 타겟 호스트나 네트워크 관련된 도메인 명이나 서브도메인을 알아내기 어려운 경우 dnsmap이나 dnsenum을 사용해서 부르트포스가 가능하다.

root@choi:~# dnsmap gmarket.com

dnsmap 0.30 - DNS Network Mapper by pagvac (gnucitizen.org)

[+] searching (sub)domains for gmarket.com using built-in wordlist

[+] using maximum random delay of 10 millisecond(s) between requests

m.gmarket.com

IP address #1: 183.111.134.253

mobile.gmarket.com

IP address #1: 183.111.134.253

ns.gmarket.com

IP address #1: 117.52.16.50

ns2.gmarket.com

IP address #1: 117.52.16.50

www.gmarket.com

IP address #1: 183.111.134.253

[+] 5 (sub)domains and 5 IP address(es) found

[+] completion time: 10 second(s)

저작자표시 비영리 변경금지

'리눅스 시스템 운영 ' 카테고리의 다른 글

NMAP을 이용한 타켓 탐색 (0)	2018.07.08
Arping을 이용한 호스트 발견 (0)	2018.07.08
네트워크 정보 수집 - whois (0)	2018.07.05
FIND - 파일시스템 검색 (0)	2018.06.18
리눅스 사용자 계정 관리 명령어 (useradd , usermod , userdel , passwd) (0)	2018.01.23

후이즈 서버는 특정기관이 관리하고 소유하고 있는 IP 주소 도메인 명 그밖의 네트워크 주소 지정 관련 정보를 보유한다.

모의 해킹 업무시 IP주소 목록이나 IP주소로 맵핑되는 도메인 명을 제공받을 수 있다.

사용법 : whois [IP주소]

root@choi:~# whois 8.8.8.8

#

# ARIN WHOIS data and services are subject to the Terms of Use

# available at: https://www.arin.net/whois_tou.html

#

# If you see inaccuracies in the results, please report at

# https://www.arin.net/resources/whois_reporting/index.html

#

# start

NetRange: 8.0.0.0 - 8.127.255.255

CIDR: 8.0.0.0/9

NetName: LVLT-ORG-8-8

NetHandle: NET-8-0-0-0-1

Parent: NET8 (NET-8-0-0-0-0)

NetType: Direct Allocation

OriginAS:

Organization: Level 3 Parent, LLC (LPL-141)

RegDate: 1992-12-01

Updated: 2018-04-23

Ref: https://whois.arin.net/rest/net/NET-8-0-0-0-1

OrgName: Level 3 Parent, LLC

OrgId: LPL-141

Address: 100 CenturyLink Drive

City: Monroe

StateProv: LA

PostalCode: 71203

Country: US

RegDate: 2018-02-06

Updated: 2018-02-22

Ref: https://whois.arin.net/rest/org/LPL-141

OrgAbuseHandle: IPADD5-ARIN

OrgAbuseName: ipaddressing

OrgAbusePhone: +1-877-453-8353

OrgAbuseEmail: ipaddressing@level3.com

OrgAbuseRef: https://whois.arin.net/rest/poc/IPADD5-ARIN

OrgTechHandle: IPADD5-ARIN

OrgTechName: ipaddressing

OrgTechPhone: +1-877-453-8353

OrgTechEmail: ipaddressing@level3.com

OrgTechRef: https://whois.arin.net/rest/poc/IPADD5-ARIN

# end

# start

NetRange: 8.8.8.0 - 8.8.8.255

CIDR: 8.8.8.0/24

NetName: LVLT-GOGL-8-8-8

NetHandle: NET-8-8-8-0-1

Parent: LVLT-ORG-8-8 (NET-8-0-0-0-1)

NetType: Reallocated

OriginAS:

Organization: Google LLC (GOGL)

RegDate: 2014-03-14

Updated: 2014-03-14

Ref: https://whois.arin.net/rest/net/NET-8-8-8-0-1

OrgName: Google LLC

OrgId: GOGL

Address: 1600 Amphitheatre Parkway

City: Mountain View

StateProv: CA

PostalCode: 94043

Country: US

RegDate: 2000-03-30

Updated: 2017-12-21

Ref: https://whois.arin.net/rest/org/GOGL

OrgAbuseHandle: ABUSE5250-ARIN

OrgAbuseName: Abuse

OrgAbusePhone: +1-650-253-0000

OrgAbuseEmail: network-abuse@google.com

OrgAbuseRef: https://whois.arin.net/rest/poc/ABUSE5250-ARIN

OrgTechHandle: ZG39-ARIN

OrgTechName: Google LLC

OrgTechPhone: +1-650-253-0000

OrgTechEmail: arin-contact@google.com

OrgTechRef: https://whois.arin.net/rest/poc/ZG39-ARIN

# end

객체 : 후이즈 질의나 검색을 실행할 때 송수신되는 정보이며 여기에는 해당 IP의 다양한 키-값 쌍 정보가 들어있다
유지관리자 : 해당 레코드 / 객체 자체를 과리하는 사람

사용법 : whois -i [항목 이름] [값]

예를들어 야후! 직원이 유지관리하는 모든 후이즈 레코드를 검색하는 명령어이다

root@choi:~# whois -i mnt-by YAHOO-MNT|more

% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.

% To receive output for a database update, use the "-B" flag.

% Information related to '188.125.64.0 - 188.125.71.255'

% Abuse contact for '188.125.64.0 - 188.125.71.255' is 'abuse@yahoo-inc.com'

inetnum: 188.125.64.0 - 188.125.71.255

netname: IR-YAHOO

descr: Yahoo! Europe

country: IE

admin-c: YEU-RIPE

tech-c: YEU-RIPE

status: ASSIGNED PA

mnt-by: YAHOO-MNT

created: 2010-10-20T08:59:32Z

last-modified: 2013-08-06T22:50:27Z

source: RIPE

role: Yahoo Europe Operations Department

address: Yahoo Europe Operations

address: 125 Shaftesbury Avenue

address: Londo

address: WC2H 8AD

remarks: trouble: uk-abuse@cc.yahoo-inc.com

admin-c: NA1231-RIPE

tech-c: NA1231-RIPE

tech-c: IG1154-RIPE

nic-hdl: YEU-RIPE

mnt-by: YAHOO-MNT

created: 2005-02-21T10:54:13Z

last-modified: 2014-03-25T20:11:11Z

source: RIPE # Filtered

여기에 IP 주소 부분 만 추출 하는 간단한 방법은
whois -i mnt-by YAHOO-MNT | grep inetnum

그 밖에 역방향 질의를 수행 할 수 있는 항목은

-i admin-c [NIC 핸들 또는 사람]
-i person [NIC 핸들 또는 사람]
-i nsserver [도메인이나 주소의 프리픽스나 범위, 또는 단일 주소]
-i sub-dom [도메인]
-i udp-to [이메일]
-i local-as [자율 시스템 번호]

저작자표시 비영리 변경금지

'리눅스 시스템 운영 ' 카테고리의 다른 글

Arping을 이용한 호스트 발견 (0)	2018.07.08
네트워크 정보수집 - DNS 서버 질의 (dig, dnsmap) (0)	2018.07.05
FIND - 파일시스템 검색 (0)	2018.06.18
리눅스 사용자 계정 관리 명령어 (useradd , usermod , userdel , passwd) (0)	2018.01.23
공개소프트웨어 라이센스 유형 (0)	2018.01.23

find는 간편하지만 강력한 방법으로 파일시스템의 내용을 검색하는 기술도 매우 중요합니다.

옵션 정리

-H : 심볼릭 링크를 따르지 않는다. 심볼릭 링크를 일반 파일로 취급해 대상 파일로 이동하지 않는다.
-L : 처리 중인 디렉토리의 심볼릭 링크를 따른다.
-P : 심볼릭 링크를 일반 파일로 취급한다. 심볼릭 링크가 가르키는 대상 파일이 아닌 심볼릭 링크 자체에 대한 속성을 철

디렉토리 탐색옵션

-maxdepth N : 현재 디렉토리에서 최대 N단계 까지의 항목들에게만 검사를 수행한다.
-mindepth N : 명시된 경로에서 최소 N단계까지의 검사를 수행한다.
-daystart : 시간과 관련된 검사를 수행할 때 기준 시간 값으로 기본값인 24시간 이내 대신에 현재일자의 00시 00분 이후의 값을 활요
-mount : 다른 파일시스템은 탐색하지 않는다.

파일검사 옵션 : 파일에 적용되며 검사 조건의 만족여부에 따라 참 또는 거짓을 반환

-amin N : 파일의 마지막 접근 시간이 N분 이전이어야 된다.
(-amin 20 : 정확히 20분전에 접근된 파일 / -amin +35 : 최대 35분 이전까지 접근된 파일)
-atime N : N*24시간, 즉 N일 전에 접근된 파일 (소수점 이하는 무시)
-mmin N : 파일이 수정된 시간이 N분 이전이어야 한다.
-mtime N : -atime과 동일한 방법이지만 시간이 기준
-executable | -readable | - writable : 파일의 점근 권한이 각각 실행, 읽기, 쓰기 가능인지 검사
-perm : 접근 권한을 검사 조건으로 사용
-iname [이름] : 파일명이 이름과 일치해야 된다. (대소문자는 무시)
-regex [패턴] : 지정된 패턴을 정규 표현식으로 해석해서 파일의 경로명과 매칭 (단, 전체 경로명을 맵핑해야 한다)

예제)

/etc 디렉토리 아래에 존재하는 파일중에 p로 시작하여 임의의 문자로 끝나는 파일을 모두 검색
: find / -regex '^/etc/p[a-z]*$'
파일시스템에서 설정과 관련된 모든 파일을 찾는다. 대소문자의 차이는 무시한다.
: find / -regex '^[/a-z_]*[cC]+[Oo]*[nN]+[fF]+[iI]*[gF]+$'

파일동작 옵션

-delete : 지정된 검사를 만족하는 파일을 삭제한다.
-exec : 매칭되는 파일을 대상으로 임의의 명령어 실행. 이 인자는 실행할 명령을 생성하는 방식,
즉 find의 검색 결과를 exec* 유형의 시스템 호출로 전달하는 식으로 동작
find는 -exec 스위치 이후 부터 ';' 까지 모든 인자를 실행될 명령의 인자로 사용
검색된 파일의 이름은 { } 로 표시
ex) find /etc/ -maxdepth 1 -name passwd -exec stat {} \;

저작자표시 비영리 변경금지

'리눅스 시스템 운영 ' 카테고리의 다른 글

네트워크 정보수집 - DNS 서버 질의 (dig, dnsmap) (0)	2018.07.05
네트워크 정보 수집 - whois (0)	2018.07.05
리눅스 사용자 계정 관리 명령어 (useradd , usermod , userdel , passwd) (0)	2018.01.23
공개소프트웨어 라이센스 유형 (0)	2018.01.23
리눅스의 교과서 - man (0)	2017.11.14

System Designer