메타프리터 stdapi 활용 실습

7. 메타프리터 활용

7-1) 메타프리터 stdapi 실습

<그림 7-1 msfvenom을 활용해 met.exe 파일 생성>

msfvenom을 활용해 악성코드 파일을 생성해준다. lhost는 칼리리눅스 ip주소를 쓰고 위에 사진대로 명령어를 입력해주면 metasploit_framework 파일 목록에 met.exe가 생성된다.

<그림 7-2 msfconsole 실행 파일>

사진과 같이 입력하고 met.rc로 저장한다. msfconsole에 접속하고 multi/handler를 사용할 것이고 payload를 set 시켜서 exploit을 해주는 명령어로 구성이 되어 있다.

<그림 7-3 msfconsole 실행 결과>

msfconsole -r met.rc 명령어를 실행시킨 결과이다. 아직 윈도우7 가상 환경에서 met.exe 악성파일을 실행시키지 않았기 때문에 세션이 잡히지 않은 상태이다.

<그림 7-4 met.exe 파일 실행>

윈도우 7 환경에 칼리리눅스에서 만들었었던 met.exe를 가져와서 실행시켜주면 사진과 같이 메타프리터 세션이 잡히게 된다.

<그림 7-5 세션 확인>

sessions -i 명령어를 입력해서 현재 어떤 세션이 잡혀있는지 확인할 수 있다. 사진과 같이 세션이 잡혀있으면 악성코드 파일이 정상적으로 실행된 것이다.

<그림 7-6 메타프리터 접속>

메타프리터에 접속된 화면이다. sessions -i 1 명령어를 사용하면 후속공격 모듈인 메타프리터에 접속이 가능하다.

<그림 7-7 meterpreter helloworld.rb>

helloworld.rb 파일을 메타프리터 폴더 안에 만들어서 사진과 같이 입력해준다. 현재 윈도우 7에 시스템 정보에 대해 보기 위한 코드이다.

<그림 7-8 helloworld.rb 파일 실행>

helloworld.rb 파일을 실행한 결과이다. run 명령어 하나로 파일만 만들면 사진과 같이 시스템 정보를 알 수 있다. 물론 client명령어로도 실행이 되지만 파일을 만들어서 실행시키는 방법도 있다.

<그림 7-9 client.sys.config 실행>

irb에 접속해서 사진과 같이 명령어를 입력해주면 여러가지 시스템 보안 정보들을 볼 수 있다. lib/rex/post/meterpreter/extensions/stdapi/sys 경로를 따라가보면 여러 파일들이 나오는데 파일들을 보고 여러가지 명령어를 실행시킬 수도 있다.