일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
31 |
- kibana
- base64
- Suninatas
- otter
- Volatility
- XSS
- diva
- beebox
- 2018
- frida
- Reflected XSS
- Docker
- Strings
- Openstack
- elasticsearch
- lord of sql injection
- CTF-d
- ctf
- SQL Injection
- vulnhub
- InsecureBank
- NTFS
- igoat
- logstash
- MFT
- ESXi
- 안드로이드
- 파이썬
- 인시큐어뱅크
- foremost
- Today
- Total
목록WebShell (2)
Information Security

백도어 공격자의 접근을 허용할 목적으로 컴퓨터에 자기 자신을 설치하는 악성코드다. 백도어는 공격자가 부분 인증이나 무인증으로 컴퓨터에 접속해 로컬 시스템에서 명령어를 실행할 수 있다. 메타스플로잇을 실행시킨 후 8180 포트 Tomcat 관리자 페이지로 접속했다. Tomcat Manager 메뉴를 클릭후 tomcat/tomcat 로그인했다. Tomcat Manager 페이지를 보면 해당 페이지 경로를 확인할 수 있다. 하단을 보면 업로드 메뉴가 있어 shell.war 파일을 업로드하였다. 경로를 다시 보게 되면 shell이 업로드된 것을 알 수 있다. shell.jsp 페이지 접속하면 WebShell이 정상적으로 업로드 된 것을 알 수 있다. Launch command 버튼 클릭 후 ls -al 명령어 ..

Volatility를 이용해 gistack imaginfo를 확인했다. gistakc pslist 파일을 저장했다. 프로세스들이 동시에 비슷한 시간에 빠르게 실행되고 죽은 것을 확인할 수 있다. mimikatz.exe는 윈도우 계정 정보가 평문으로 저장된 것을 가져오는 프로그램이다. (문서형 악성코드) 웹 서버 프로세스가 실행되고 있는 것을 알 수 있다. pstree 구조를 확인하기 위한 명령어다. 웹 서비스에 cmd.exe가 실행되는 것을 알 수 있다. 어떤 것에 의해서 시스템 명령어(RCE)가 실행되고 있는 것을 알 수 있다. powershell을 통해 명령어를 실행 해 계정 정보를 획득하는 것을 알 수 있다. sysmon.exe 통합적인 로그 프로세스가 동작하는 것을 알 수 있다. filescan를..