[2024.06.27]
[Key Logger]
01. 메모장 실행
02. >ps <-- 메모장 프로세스(1234) 확인
03. >migrate 1234
04. > run post/windows/capture/keylog_recorder
05. 메모장에 타이핑
06. CTRL+C로 저장
07. #cat
/root/.msf4/loot/20240627210626_default_192.168.10.201_host.windows.key_260383.txt
오늘 실습의 시작은 지난 시간에 배운 걸 복습 개념으로 다시 시도해 본다
2008도 똑같이 shell:startup을 실행해 주고 바탕화면에 있는 win10_m.exe를 복사 붙여넣기 한다
*2008 이후로 보안이 강화되어 2008에서는 레지스트리를 할 필요가 없다
시작 프로그램에 악성코드 파일을 넣어 줬다면 Kali linux에서 공격 대기 상태를 만들어 놓고,
2008에서는 리부팅을 시도한다
리부팅 후 공격이 제대로 먹히면서 PC 정보를 확인해도 2008인 걸 확인할 수 있다
2008에서는 hashdump도 바로 확인 가능하다
다시 Windows 10의 meterpreter로 변경하고 hashdump를 하게 되면 실행되지 않는다
hashdump를 성공하기 위해 해당 winlogon.exe를 실행
migrate를 이용하여 해당되는 번호를 입력했지만 역시나 되지 않는다
이번에는 explorer.exe를 가지고 실행해 보려고 한다
migrate로 success가 뜨긴 하지만 hashdump는 역시나 실행되지 않는다
이 경우에는 Windows 10에서 win10_m.exe를 관리자 모드로 실행해야 되는데,
속성 -> 호환성 -> 관리자 모드로 전환해서 실행을 체크하게 되면 방패 모양이 생긴다
변경 후 다시 공격을 시도하고 성공한다면 PC 정보도 확인해 본다
끝으로 이번에는 hashdump도 성공하는 걸 확인할 수 있다
Key Logger 실습을 진행하기에 앞서 이번에도 훨씬 더 효율적으로 진행하기 위해 파일을 하나 만든다
파일에 화면의 내용을 삽입
방법은 기존에 하던 방법과 같다
msfconsole과 옵션 -r을 이용하여 bind_tcp.rc 파일을 입력해 준다
공격이 성공한다면 meterpreter로 전환이 되며, PC 정보 역시 Windows 7으로 확인된다
Windows 7에서 메모장을 켜고 Kali linux에서 ps를 하게 되면,
notepad.exe가 나타나는데 해당 번호를 기억한다
미리 migrate 336으로 sucess를 해 준 다음 화면의 run 명령어를 이용하여 실행한다
레코딩 상태에서 다시 Windows 7으로 이동
열어 뒀던 메모장에서 무작위로 타이핑을 친다
Kali linux로 돌아와서 CTRL+C키로 빠져나온다
프롬포트 창을 하나 더 열어 /.msf4/loot 디렉터리로 이동한다
해당 디렉터리를 확인하게 되면 이렇게 파일이 생성되는데
cat 명령어를 이용하여 끝의 숫자 부분부터 복사 후 붙여넣기를 해 준다
명령어를 입력하게 되면 위에 무작위로 입력한 메모장의 화면을 그대로 확인할 수 있다
이번에는 홈페이지를 이용한 key logger를 진행해 보려고 한다
run을 진행시켜 준 다음
Windows 7으로 넘어가서 인터넷 창을 열어 google과 chrome, 각종 검색어를 입력한다
다시 Kali linux로 돌아와서 레코딩 중단
확인 시 전보다 파일이 늘어난 걸 확인할 수 있다
레코딩을 끝낸 시간대에 맞춰 확인하게 되면 내가 검색한 검색어를 확인할 수 있다
위의 실습은 bind_tcp를 이용한 실습이었기 때문에,
이번에는 reverse tcp를 이용하여 침투 후에 진행해 보려고 한다
msfconsole을 이용하여 대기 상태로 만들어 둔 후 win10_m을 클릭한다
공격을 시도하게 되면 sessions로 Id를 확인
sessions -i 1을 입력하게 되면 meterpreter를 사용할 수 있다
sysinfo로 PC 정보가 Windows 10인지도 확인해 주는 게 좋다
다시 Windows 10으로 가서 메모장을 실행한다
Kali linux로 돌아와서 notepad 번호 확인
migrate를 이용하여 해당 번호를 입력 후 허용시켜 준다
그 다음 run 명령어를 이용하여 레코딩을 시작한다
이때 Windows 10에서 실행한 메모장에 아무 문자나 입력하면 된다
레코딩 중단
레코딩을 할 수록 늘어나는 목록
확인하게 되면 입력한 그대로의 메모장을 확인할 수 있다
Windows 10에서도 홈페이지로 검색했을 시에도 가능한지 테스트를 진행 중이다
이번에도 레코딩 화면을 띄워 놓고 Windows 10으로 이동
Windows 10에서는 인터넷 창을 열어 여러 가지를 검색하면 된다
레코딩을 중단시킨다
목록이 많아지므로 꼭 시간대를 확인해야 된다
확인하게 되면 위에 검색했던 창과 똑같은 검색 목록이 나온다
이어서 Windows 2008로도 진행해 본다
*Windows 10과 2008은 reverse tcp 침투를 이용하여 key logger를 진행한다
win10_m을 눌러 주고 대기 상태에서 sessions Id 확인 후 meterpreter를 사용
PC 정보도 2008인 걸 꼭 확인해 준다
2008에서 메모장 실행
notepad 번호 확인
migrate와 run 명령어를 이용하여 레코딩 상태 준비
2008로 가서 메모장에 원하는 문구를 입력한다
Kali linux에서는 레코딩을 중단시킨다
현저히 늘어난 목록 확인 필수
방금 레코딩을 끝낸 시간대를 확인해 보면 메모장에 입력한 그대로의 화면을 확인할 수 있다
명령어의 경우에는 위에서 많이 설명해 뒀기 때문에 이번에는 명령어를 생략하고 진행
인터넷 창을 열어 검색하고 싶은 사이트 주소를 입력해 준다
이번에도 레코딩이 끝난 시간대의 파일을 확인하면 검색 기록이 나타난다
강의 소감
점점 더 심화되는 과정에 따라 가기 벅차지만 성공하면 뿌듯하기도 하다
오늘 배운 key logger은 응용의 문제 같고 여기에서 더 심화로 공격하게 되는 부분도 궁금하다
매일 연습 또 연습 생각하지만 되는 날도 있고 잘 안 되는 날도 있다
그래도 매일 열심히 하는 게 목표다
오늘도 모두 파이팅
