# Metasploit Series 1 Overview MeterPreter

Artifex_Ethan_ 2024. 4. 1. 16:39

MeterPreter 란?

→ 다양한 후속 공격(Post Exploitation)을 지원하는 메타스플로잇의 대표!

→ 인메모리 dll 인젝션 스테이저를 사용하는 광범위한 동적 고급 페이로드

→ 지속적인 접근 권한을 가지고 있는게 핵심이다.

은밀성 :→ 프로세스 인젝션 시 새로운 프로세스 생성 안 함
→ 최소한의 포렌식 증거
→ 디스크를 건드리지 않음
강력함 :→ 모든 공격이 가능하다고 봐도 무방함
→ 암호화 통신을 사용
동작 원리→ 스테이저는 Reflective를 앞에 첨가한 dll을 로드→ 소켓을 통해 TLS/1.0 링크를 초기화 및 연결을 성립 후 GET 요청 전송
→ 확장 프로그램을 로드
→ Reflective stub은 dll의 로드 및 인젝션을 수행
→ 초기 스테이저 페이로드를 실행

Meterpreter

Extension 확인 방법

use -l

→ api 기능들의 묶음.

→ stdapi / core / priv ...etc

use 말고 load espia 사용하면 무기가 하나 더 추가된 셈.

ps migrate해도 그대로 실행가능.

load 로 새로운 모듈 추가 가능

use extapi : 확장팩 같은 느낌

webcam_stream : 사용자의 웹캠을 가져올 수 있음

screenshot : 현재 페이지 스크린샷 떠올 수 있음

getuid : 현재 권한 확인

migrate : 숙주 변경 그에 따른 시스템 권한으로 변경됨

ex) migrate pid

getsystem : 옵션 미지정 시 알아서 시스템 권한 획득

전체적으로 명령어 및 기능은 몇개정도는 실제로 테스트를 해보고

사용법을 익혀야 시나리오를 짤 때도 무리 없이 진행 가능하다.

use kiwi / lanattack / mimikatz /sniffer

getsystem

kerberos

현재 사용자 계정에 대한 정보 추출

run checkvm : vm 동작중인지 확인

run killav : 실행 중인 백신 종료

run winenum : 모든 정보 수집해서 텍스트 파일로 만들어 준다.

irb : 대화형 인터프리터 (Ruby ver.)

client.sys.config.sysinfo

일종의 디버깅.

원하는 스크립트 단만 선택해서 사용도 가능하고

스크립트 작성 시 참고하여 엑기스만 빼서 만들 수 있음