미터프리터 명령어

외부의 다양한 미터프리터 스크립트는 미터프리터 쉘 내에서 미리 정의된 작업을 수행하거니 시스템을 살펴보는데 도움이 된다.

본 포스팅에서는 유용한 몇 가지만 살펴본다.

 

VNC 사용, 대상 시스템 GUI 얻기

 

 

 

1번째 사진처럼  "run vnc" 명령어를 통하여 2번째 사진처럼 대상 시스템의 GUI 그래픽 환경을 얻을 수 있다.

 

 

Migrate 작업

시스템을 공격해 IE와 같은 서비스를 악용할 때 대상 시스템의 사용자가 브라우저를 닫으면 미터프리터 세션도 함께 닫히게 되며, 세션이 끊어진다.

따라서 이런 문제를 해결하기 위해 포스트 익스플로잇 모듈을 Migrate(이주)할 수 있다. 더 안전한 프로세스로 이주하면 프로세스가 죽지 않고

시스템과의 연결을 계속 유지할 수 있다.

 

 

 

 

Anti Virus 무력화

Anti Virus 소프트웨어는 특정 작업을 차단할 수 있다. 모의 해킹 업무를 수행하다 보면 특정 공격 벡터를 사용할 때 백신이나 IDS 기반의 제품들에

의해 차단되는 경우가 발생한다. 이 때 killav 스크립트를 이용하면 작업을 방해하는 프로세스를 중단시킬 수 있다.

 

 

 

 

공격 대상 시스템 트래픽 캡쳐

공격 대상 시스템의 전체 트래픽을 캡쳐하려면 패킷 레코더를 실행해야 한다. 패킷 레코더에 의해 캡처된 모든 내용은 .pcap 형식으로 저장되므로

와이어샤크 같은 도구를 이용하여 분석 할 수 있다.

 

 

 

 

 

 

시스템 스크레핑

scraper 스크립트는 시스템으로부터 얻고자 하는 모든 것을 열거한다. 사용자명과 패스워드, 전체 레지스트리, 패스워드 해시 덤프,

시스템 정보 수집, HKEY 내보내기 등의 작업이 가능하다.

 

 

 

 

 

 

Persistence 사용

미터프리터의 persistence 스크립트는 공격 대상 시스템이 재부팅된 이후에도 미너프리터가 수행될 수 있게 미터프리터 에이전트를 삽입한다.

리버스 연결일 경우 공격자 시스템에 다시 접속하는 대상 시스템의 간격을 조정할 수 있다.

아래의 사진은 윈도우 부팅 시 에이전트를 자동 시작하게 설정하는 옵션 (-X), 연결을 재시도하기 전에 30초 대기하는 옵션 (-i 30),

1234 포트를 사용하고 (-p 1234), IP 주소 192.168.0.2에 연결하라는 옵션 (-r 192.168.0.2)와 함께 명령을 실행한 결과이다.

 

 

이제 아까 생성한 "reverse_shell.exe" 파일을 지워도 된다.

 

* 미터프리터 에이전트를 삭제하는 방법은 위의 사진에서 아래줄에 보이는 레지스트리와 /Run/에 위치한 레지스트를 삭제해야 한다.