'reverse exe'에 해당되는 글 1건

  1. 2012.07.21 [Metasploit]Meterpreter (Reverse exe) 4

책보다 보니까 Metasploit Framework의 Meterpreter가 있길래 궁금해서 직접 해보기로 했다.


시연 내용은 Meterpreter의 Reverse exe이다.


우선 시연 환경 설명.



[Figure 1 - Victim XP]



먼저 Victim부터.


위의 XP는 Reverse exe 공격을 받게 될 가상 환경이다.


IP는 192.168.138.133.



[Figure 2 - Attacker Ubuntu]



그리고 Attacker인 Ubuntu.


IP는 192.168.138.135이다.

 



[Figure 3 - 파일 전송을 위한 포트 오픈]



Meterpreter를 통하여 Reverse exe 파일을 만들게 되면 공격자는 대상(Victim) 컴퓨터에 파일을 옮겨 둘 필요가 있다. Exploit을 하게 되면 세션을 물기 위해서 나중에 그 파일을 실행해야 하기 때문이다. 


그러므로, 굳이 nc가 아니더라도 USB를 이용하여 옮길 수도 있고, FTP, WebServer, Mail 등을 이용하여 옮길 수 있다(이 방법은 실제 상황에선 사회공학적인 방법이 된다). 필자는 가장 간단한 방법이고 어디까지나 시연이기 때문에 nc를 이용하여 파일을 전송하도록 하겠다.


nc를 이용한 파일 전송 방법은 여기를 클릭하여 확인할 수 있다.




[Figure 4 - Reverse exe 생성 및 파일 전송]



먼저 Reverse exe를 생성하는 방법을 알아보자.


[Figure 5 - Reverse exe 생성]



Reverse exe는 msfpayload를 이용하여 생성시킬 수 있다. msfpayload의 usage는 다음과 같다.



Usage: /opt/metasploit-4.4.0/msf3/msfpayload [<options>] <payload> [var=val] <[S]ummary|C|[P]erl|Rub[y]|[R]aw|[J]s|e[X]e|[D]ll|[V]BA|[W]ar>


ex> msfpayload [no_option] <payload : windows/meterpreter/reverse_tcp> [var(LHOST,LPORT)] [exe : X] > (File Name)



payload는 TAB이 안되므로 직접 타이핑해야한다.


var로써 LHOST와 LPORT가 주어져있다. 이는 Reverse exe가 동작되는 컴퓨터(Victim)에서 세션을 물기 위한 목적지를 의미한다. 그러므로, 자신(Attacker)의 정보를 기입해주면 된다.


혹시나 해서 풀어서 설명해주자면 LHOST는 IP이고 LPORT는 Port(임의)이다. 정보를 기입한 후, 쓰기형식으로 exe 파일을 만들어내면 된다.


만들었으면 Victim PC에게 전송시키자.



[Figure 6 - 정상적으로 전송이 된 Reverse exe 파일]



올ㅋ굳ㅋ


이제 본격적으로 Exploit을 해보자. 


Exploit이라고 해도 이 작업은 기본적인 툴을 사용하기 때문에 그렇게 어렵지 않다. 약간의 세팅과 명령어 하나면 끝나는 작업이다.



[Figure 7 - 세팅 작업]



이런식으로 하나하나 세팅 후 Exploiting해도 되지만, MSFCLI를 이용하면 더 간단히 할 수 있다.



[Figure 8 - MSFCLI Exploit]



Exploit을 하게되면 Victim이 프로그램을 실행(세션을 물 때 까지)할 때 까지 대기를하다가, 프로그램을 실행하게 되면 위와 같이 meterpreter console이 실행되게 된다.


help를 통해 사용할 수 있는 명령어를 확인할 수 있다.



[Figure 9 - Victim Process]



위와 같이 ps 명령으로 Victim의 현재 동작중인 프로세스를 확인할 수도 있다.


[Figure 10 - Victim Network Status(netstat -nabo)]


하지만 Reverse exe Victim 또한 네트워크 연결 상태, 또는 프로세스 동작 상태를 통해 확인할 수 있다. 물론 보이지 않게 할 수 있다. 다만, 지금 시연된 meterpreter(모든 기능을 보지 않았기 때문에 미터프리터에 스텔스기능이 존재하는지는 잘 모르겠다.)에서 옵션 일부분을 필자가 확인할 땐 이러한 기능을 없는 것 같았다.



Meterpreter에 대한 사용 방법 - http://www.nologin.org/Downloads/Papers/meterpreter.pdf



'공부 > Forensics' 카테고리의 다른 글

[Forensics]Live Response  (1) 2012.07.25
[Metasploit] Msfpayload  (0) 2012.07.21
[Windows]Userdump.exe  (0) 2012.07.19
[Windows]Nbtstat.exe  (0) 2012.07.19
[NTSecurity]PromiscDetect.exe  (0) 2012.07.17
Posted by extr
: