إجابات التحدي الأول

في البداية رمضان مبارك ونسأل الله أن يعود علينا وعلى أمتنا بأفضل حال. نشكر جميع من شاركونا هذا التحدي، حيث وصلتنا العديد من الأجابات الصحيحة مما اثلج صدورنا. ونعتذر عن التأخر في اصدار الإجابات. والآن الى هذه الإجابات التي طال انتظارها:

ما هو عنوان الضحية؟

192.168.1.11 نرى في الشكل التالي محاولات اتصال من 192.168.1.16 الى المنفذ 445 على العنوان 192.168.1.11 ونلاحظ في الحزم من رقم 9 وما يليها محاولة انشاء اتصال باستخدام NULL Session

هناك كذلك حزم أخرى تظهر لنا ان هذا عنوان الضحية سنأتي عليها لاحقاً.

ما هو نظام تشغيل الضحية؟

كما هو واضح من الشكل التالي فإن نظام الضحية هو Windows XP Professional ومن خلال الاصدارة 5.1.2600 يمكننا القول أنها نسخة 32bit من النظام (5.2.2600 هي النسخة 64bit).

ما هي الأوامر التي نفذها المهاجم على حاسوب الضحية وما هو الغرض منها؟

في حال استخدام الأداة Wireshark لو قمنا بعمل “Follow TCP Stream” سنشاهد التالي

 هذا سيظهر لنا الحزم التي تحتوي على حصول المهاجم على shell على حاسوب الضحية وكما نرى فإن إصدارة ويندوز قد ظهرت فيه. الآن نأتي للأوامر

1- قام المهاجم بإضافة مستخدم معرفه attacker وبكلمة مرور Pa5$w0rd!

2- قام المهاجم بجعل هذا المستخدم (attacker) عضوا في مجموعة مدراء النظام administrators

3- قام المهاجم بإضافة تعليق على حساب attacker يقول I hacked you 🙂

4- قام المهاجم بتنفيذ الامر whoami وهو أمر لا يعمل على انظمة XP

كيف كان بإمكان الشركة منع مثل هذا الهجوم؟

هناك عدّة اجراءات يمكن للشركة اتخاذها للحماية من مثل هذا الهجوم

1- تفعيل الجدار الناري على الشبكة ومنع الوصول الى المنفذ 445 من خارج الشبكة وكذلك تفعيل الجدار الناري على النظام نفسه.

2- التحديث الدائم للنظام ومتابعةآخر الأخبار الامنية للنظام حيث هناك تحديثات يتم الاعلان عنها خارج دورة التحديث العادية.

3- وجود نظام كشف أو صد المتسللين كذلك سيساعد في منع الهجوم او على الاقل تنبيه مدير النظام بحدوثه.

4- برامج مكافحة الفيروسات.

ما هي الثغرة التي أدى استغلالها الى اختراق حاسوب الضحية؟

الثغرة هي MS08-067 والتي تؤدي الى تنفيذ كود عن بعد على نظام الضحية. الشكل التالي يظهر احد الخيوط الرئيسية الدالة على هذه الثغرة، حيث نرى اتصال على دالة NetPathCanonicalize المصابة بهذه الثغرة