나도 한번 해보자 파워쉘... (1)

파워쉘은 윈도우에 기본적으로 설치되어 있는 프로그램으로 업무 자동화나 여러가지 이유로 많이 쓰이고 있죠.

그리고.. 공격자가 악성행위를 위해 많이 사용되고 있는 프로그램입니다. 대부분의 기업들은 파워쉘 커멘드/스크립트를 탐지하기 위해 애쓰고 있지만 파워쉘은 메모리에 직접동작하므로 네트워크상에서 동작하고 있는 커멘드/스크립트를 탐지하기 어렵습니다. 

좋은쪽이든 나쁜쪽이든 어쨌거나 파이쉘은 킹왕짱입니다. 업무자동화도 시킬수 있고 여러가지 면에서 유용하게 쓰일 수 있기 때문이죠. 

자.. 그럼 파워쉘의 세계로 떠나볼까요?!

시작>

앞서 파워쉘은 윈도우에 미리 설치된 프로그램이라고 설명드렸습니다. (맥은 brew 명령어를 통해 pwsh 를 설치해줘야 됩니다.)

파워쉘을 실행시켜봅시다. 

윈도우 + R 키를 눌른 뒤 powershell 을 입력하여 실행시켜 볼까요?

위 실행창에 powershell 문자열을 입력 후 확인버튼을 누르면 아래와 같이 멋드러진 파란색 창이 나타납니다. 

(개인적으로 저는 파란색이 제일 싫습니다. 주식이 떡락하는것 같거든요...)

파워쉘 버전을 아래 명령어를 입력하여 한번 확인해 봅시다.

$PSVersionTable

(참고로 파워쉘은 명령어 자동완성 기능이 있기 때문에 Tab 키를 활용하시면 더 편합니다. ^^)

위 결과 내용에서 PSVersionTable 의 검색결과를 아래 명령을 통해 좀 더 축소시켜볼 수도 있습니다. 

$PSVersionTable.PSVersion

여기서 검색결과를 더 축소시킬 수 있을까요? 네 맞습니다 있습니다. 아래 명령어로 더 축소시켜볼까요?

$PSVersionTable.PSVersion.Major

파워쉘의 명령어 중 파워쉘 버전정보를 확인할 수 있는 $PSVersionTable의 결과값을 축소 축소 해 보았습니다. 이러한 부분은 어느 부분에서 활용할 수 있을까요?

만약 공격자의 입장이라면 특정 파워쉘의 Major, Minor, Build 등의 정보를 확인하여 버전정보 관련하여 어떠한 취약점을 타깃으로 한다면 위 명령어들이 사용될 수 있겠죠?

파워쉘 버전정보를 확인하는 명령어에 대해 한번 알아보았는데요. (글을 마무리하려는 냄새가 나시죠?)

현재 업무를 위해 파워쉘을 많이 활용해야되는 일이 있어서 황폐한 블로그를 살리기 위해 조금씩이나마 파워쉘에 대해 포스팅을 시작해 보도록 하겠습니다. 

그럼 20000!