[1편] 웹 모의해킹 Tool

 

이번 실습은 웹 모의해킹을 위한 환경을 직접 구축하고, 보안 진단 및 침투 테스트에 활용되는 여러 도구들을 설치하고 사용하는 것을 목표로 한다. Kali Linux 기반에서 Apache, PHP, MySQL 등 웹 서비스 구성 요소를 구성하고, Metasploit, Nmap, Lynis 등 실전에서 활용 가능한 보안 도구들을 실습하였다. 

---

1. Apache2

• 설명 : 가장 널리 사용되는 오픈 소스 웹 서버
• 역할 : 웹 페이지를 클라이언트(브라우저)에 제공
• 설치 명령어:

sudo apt install apache2

 

 

=> http://[IP 주소] 접속으로 기본 페이지 출력을 확인할 수 있다. 

---

2. PHP 7.4

• 설명 : 서버 측 웹 개발 언어
• 역할 : 동적 웹 페이지 처리를 위한 필수 요소
• 설치 명령어: 

apt install software-properties-common apt-transport-https

apt install php7.4
apt install php7.4-common libapache2-mod-php7.4 php7.4-cli

apt install php-mysql  
# MySQL 데이터베이스에 연결하고 데이터를 삽입,조회,삽입,수정,삭제등 작업이 가능해짐. 
# MySQL과 PHP 간의 데이터 처리와 연결을 중개하는 역할을 한다. 

systemctl restart apache2

 

 

 

 

 

 

 

---

3. MySQL

• 설명 : 오픈소스 관계형 데이터베이스 관리 시스템(RDBMS)
• 역할 : 웹 애플리케이션의 데이터 저장 & 관리
• 설치 명령어: 

apt install mysql-server

 

• 사용자 설정 : 루트 계정 접속 & 사용자 계정 생성

 

 

---

4. phpMyAdmin

• 설명 : MySQL을 웹 브라우저를 통해 관리할 수 있게 해주는 GUI 도구
• 역할 : 데이터베이스 테이블 관리, 쿼리 실행 등
• 설치 명령어: 

apt install phpmyadmin

• 연동 설정 : Apache2 설정 파일에 phpMyAdmin Include 구문 추가
• 접속 확인 : http://[IP 주소]/phpmyadmin

 

---

5. Nmap

• 설명 : 네트워크 탐색 및 보안 진단 도구
• 역할 : 포트 스캔, 서비스 탐지, 운영체제 식별 등. 
• 설치 명령어 : 

apt install nmap

 

• 사용 예시

nmap -sS [IP 주소]

 

 

---

6. Lynis

• 설명 : 시스템 보안 감사 도구
• 역할 : 시스템 설정을 점검하고 취약점을 제공함. 
• 설치 명령어:

apt install lynis

• 사용 예시 :

lynis audit system

 

 

---

7. Metasploit Framework

• 설명 : 모의해킹 및 취약점 공격 자동화 도구
• 역할 : 다양한 익스플로잇과 페이로드를 통해 시스템 침투 테스트 수행
• 설치 명령어 :

apt install metasploit-framework

• 기본 명령어:

msfconsole

• 활용 가능: 웹 취약점 공격 외에도 시스템 악용 실습이 가능하다. 

---

8. 느낀 점 & 마무리

 

이번 실습을 통해 웹 서버부터 DB, 관리도구까지의 웹 환경을 직접 구성하고, 보안 진단 도구들을 실습해 볼 수 있었다. 

단순히 툴을 설치하는 것을 넘어, 각 도구가 어떤 목적으로 사용되는지, 어떻게 활용 가능한지 학습하는데 중점을 두었다. 

특히, 그중에서도 Metasploit은 실무에서 정말 강력하게 활용되는 공격 도구로서, 앞으로 다양한 익스플로잇 실습을 해볼 예정이다.

 

보안 진단을 위한 도구로는 nmap이 특히 유용했던 것 같고, 시스템 점검이나 네트워크 서비스 상태를 파악하는 데 큰 도움이 되었다. phpMyAdmin은 DB를 관리하는데 편리한 도구인 것 같고 웹 환경의 구조를 더 잘 이해할 수 있도록 도와준 도구인 것 같다. 

 

 

다음 글 보러가기

[2편] 웹 모의해킹 Tool

 

 

 

이 블로그는 불법 해킹 및 악의적인 활동을 지양하며, 그런 행위는 절대 권장하지 않습니다.

모든 실습은 허가된 환경에서만 진행해야 하며, 법적 책임은 사용자 본인에게 있습니다.