■ 개요
- Mitre ATT&CK Matrix에서 명시하고 있는 Persistence(지속)은 공격자가 최초 침투 이후에도 계속해서 해당 서버로 접근을 하기 위한 방법 및 전술들을 정의하고 있다.
- 공격자는 타겟 서버 또는 단말이 재부팅되더라도 지속적으로 연결될 수 있도록 작업을 진행
- 해당 과정에서는 Metasploit에서 제공하는 Persistence 기능을 소개할 예정
■ 테스트 환경
| OS | IP |
| Kali Linux | - 192.168.63.128 |
| Win 7 | - 192.168.63.130 |
- 실습 환경 및 교육 자료는 조정원 대표님이 운영하고 있는 '보안 프로젝트'에서 참조하였으며, 자세한 사항 및 다양한주제의 강의들을 많이 배울 수 있음
■ 진행 절차
Step 1. Win7 환경에서 HFS(HTTP File Server)를 이용하고 있으며, 시스템에 취약점이 있는 HFS 2.3b 버전을 사용하고 있음을 확인. HFS 2.3b 버전의 경우, RCE(Remote Code Execution) 취약점이 존재하여 이를 이용하여 Exploit 진행 시, 정상적으로 리버스 쉘 획득 성공.
Step 2. 공격자는 권한 상승을 위해 UAC(사용자 계정 컨트롤)를 우회하는 방식을 통해, SYSTEM 계정을 획득.
※ UAC 및 권한 상승 파트는 추후에 업로드 예정
Step 3. 공격자가 시스템을 장악 했으나, 지속적으로 타겟 서버에 접근 하기 위하여 타겟 서버가 재부팅 이후에도 접근가능하도록 Metasploit에서 제공하는 'persistence.rb'를 사용하여 exploit 진행 시, vbs 파일 생성 및 레지스트리 추가 확인.
재부팅 이후에도 리버스 쉘 연결 성공 확인.
'모의해킹&웹취약점진단 > 모의해킹 개요' 카테고리의 다른 글
| Mitre ATT&CK -Initial Access(악성 메일을 통한 침투) (0) | 2024.04.29 |
|---|---|
| Mitre ATT&CK -Lateral Movement(측면 이동) (2) | 2024.04.23 |
| XSS 쿠키 재사용 공격 (0) | 2024.01.12 |
| Mitre ATT&CK -Initial Access[mysql brute force 취약점] (0) | 2023.11.03 |
| Mitre ATT&CK -Initial Access[rlogin 취약점] (0) | 2023.11.02 |