قوة الميتربرتر – الجزئ الأول

موضوع اليوم سيغطي جانب يخفي على الكثيرين , اي عملية اختراق تمر بثلاث مراحل اولا جمع المعلومات , ثانيا استغلال الثغرات التي تم الحصول عليها , بعض المستخدمين يعتقدون ان كل شيئ انتهى لاكن الحقيقة هناك مرحلة مهمة و هي مرحلة ما بعد الاختراق post-exploitation , معنى كلامي ما الذي سنقوم به بعد اخترق الجهاز ؟ هل انتهى كل شيئ بعد الاستغلال ؟

هنا تأتي اهمية الميتربرتر Meterpreter البعض يكتفي فقط بتبديل الاندكس اذا كان هناك سيرفر ويب مركب على الجهاز او سحب كلمات السر , هل تعتقدون ان كل هذه الضجة عن الميتربرتر اتت هكذا ؟

في هذا الموضوع سأحاول رسم فكرة عن الميتربرتر و نقاط قوته و ذلك بامثلة على جهاز تم اختراقه تحديدا Windows 7 Professional

ما هو الميتربرتر؟

لا نستطيع التحدث عن الميتربرتر بدون ذكر مشروع ميتاسبلويت Metasploit بكل بساطة هو عبارة عن مشروع مفتوح المصدر يقدم معلومات عن ثغرات الانظمة و طرق استغلالها يتفرع منه مشروع صغير يدعى Metasploit Framework و هو مجموعة من الادوات لتنفيذ الاستغلالات exploits ضد التطبيقات و الانظمة المصابة , مشروعنا هذا تم اطلاقه من قبل HD Moore في 2003 و اصبح من اكثر المشاريع نجاحا اغلب مختبري الاختراق pen testers يفضلون استخدامه على المشاريع الاخرى , مبدأ استخدام هذا الفريم وورك بسيط جدا اولا يتم اختيار الاستغلال بعد ذلك ضبط اعدادات الكود الذي سيتم تحميله الى ذاكرة الجهاز المستهدف و الذي يدعى ب Payload و اخيرا تنفيذ الاستغلال , الميتربتر ليس الا نوع من البايلودز payloads لاكنه يتميز بقوته التي تتمثل في قدرته على تحميل الملفات من و الى ذاكرة النظام المستهدف , هناك شيئ آخر مع الميتربرتر كل شيئ في الذاكرة على سبيل المثال المكتبات التي يتم تحميلها الى نظام الهدف, اي انه لا يوجد آكسس الى الهارديسك و هذه نقطة قوية تساعد في عدم اكتشافه , ايضا يتميز بعدم خلق عمليات جديدة تعمل في النظام , و الكثير من الاشياء سنكتشفها في الاسطر القادمة .

اساسيات الميتربرتر Meterpreter Basics

كما قلت لكم سيتم شرح الميتربرتر على نظام ويندوز 7 مخترق , لن اذكر هنا الثغرة التي تم بها اختراق الجهاز , سأبدا من مرحلة ما بعد الاستغلال في الصورة التالية تلاحظون حصولي على جلسة ميتربرتر Meterpreter Session على النظام:

الآن و نحن امام سطر اوامر ميتيربرتر , في رأيكم من اين سنبدأ ؟

لاشيئ افضل من ان نبدأ بطباعة معلومات عن النظام الذي قمنا باختراقه , الامر بسيط :

sysinfo

و هذه نتيجة تطبيقه :

في الصورة السابقة اتضح ان النظام هو ويندوز 7 النسخة الفرنسية و اسم الكمبيوتر هو GHOST-PC, قبل البدأ في التقدم مع الميتربرتر و شرح اوامره لدي سؤال ما هي الصلاحيات التي لدينا على النظام ؟

عندما ينجح استغلال لثغرة على نظام معين فان الصلاحيات التي سنحصل عليها هي صلاحيات المستخدم الحالي , و لذلك قد يتعذر علينا القيام بعمليات حساسة على النظام  لكن الميتربرتر لم ينسى هذه المسألة و قدم مجموعة من الاستراتجيات للحصول على صلاحيات النظام و هي اعلى ما يمكن الحصول عليه , للحصول عليها نقوم بتطبيق الامر :

getsystem

لاحظو معي كيف تم تنفيذ الامر و بعد ذلك تطبيق الامر getuid لكي نتعرف على المستخدم الذي نعمل في بيئته و كما ترون system :

الآن و انت مستخدم تملك صلاحيات system على النظام ما الذي ستفعله ؟

يمكنك القيام بكل ما تريد على النظام ابسط مثال على ذلك الانتقال بين المجلدات و البارتشنز و عرض الملفات كما في المثال التالي :

ميتربرتر حيوي ؟

تعلمون ان الثغرات موجودة في الانظمة كما في التطبيقات و البرامج في حالة اذا ما كان البرنامج المصاب و الذي تم استغلال الثغرة عليه غير حيوي , قد نجد مجموعة من العوائق على سبيل المثال اذا انتهت العملية و تم تحرير الذاكرة , سنفقد اتصالنا لهذا هناك طريقة لنقل الميتربرتر الى عملية process تعمل لصالح النظام و تكون حيوية جدا مثل winlogon.exe هنا سنضمن بقاء الميتربرتر على قيد الحياة في الذاكرة , و للقيام بهذا سنستخدم تقنية تدعى الترحيل migrate و هي نقله الى عملية اخرى another process اولا دعونا نطبق الامر ps لنرى جميع العمليات التي تعمل على النظام :

ps

كما ترون في الصورة فوق العملية winlogon التي تحمل الرقم 564 هي التي سننقل اليها الميتربرتر و ذلك بالامر التالي :

migrate 564

تم نقل meterpreter بنجاح و بهذا اضمن لكم شيئ ان حياته lifetime هي نفسها حياة النظام الا اذا قدر الله

الحصول على command shell

النظام الذي اخترقناه هو الويندوز ولهذا من المستحسن الحصول على command shell او cmd لنكون اقرب اكثر منه يوجد امر جميل يدعى execute يمكن تطبيقه , لنرى خياراته :

لن اشرح كل الخيارات , فقط ثلاثة او اربعة ستفيدنا في الحصول على cmd على النظام وهي :

– الخيار f : ويستخدم للاشارة الى الملف التنفيذي الذي ستتم عملية تحميله الذاكرة

– الخيار c: ويستخدم لانشاء قناة بيننا مع العملية بعد تحميل الملف التنفيذي, مفيد في حالة اردنا التفاعل مع الملف

– الخيار H : و هو لاخفاء العملية عن الاعين

الآن لتحميل ملف cmd.exe الى الذاكرة و انشاء قناة تفاعل و اخفائه علينا تطبيق الامر التالي :

execute -f cmd -c -H

 تم انشاء عملية في النظام تحمل الرقم 4628 و تعمل عليها اداة cmd اي تم انشاء قناة channel للتفاعل تحمل الرقم 1 , للتفاعل مع هذه القناة يكفي تطبيق الامر :

interact 1

نجح الامر و حصلنا على command shell , جميع اوامر الميتربرتر لم تعد صالحة الآن , لهذا عند الانتهاء من التفاعل مع هذه القناة يجب تطبيق الامر exit للعودة الى محث الميتربرتر .

التنصت على الكيبورد

آخر ما سنراه في هذا الجزء هو عملية التنصت على الكيبورد اي الحصول على كل ما يتم كتابته من قبل مستخدم النظام , هذه العملية مفيدة جدا يمكن على سبيل المثال اختراق نظام و بدأ التنصت حتى يتم اغلاق النظام , في النهاية ستحصل على ملف نصي يحتوي على جميع ضغطات الكيبورد طوال الجلسة , لكي نبدأ التنصت نطبق الامر التالي :

run keylogrecorder

لاحظو معي هذا الامر بدأ ب run , و هي للاشارة الى اننا نريد تحميل سكربت في هذه الحالة keylogrecorder , السكربتات يمكن اعتبارها ادوات مساعدة للمتربرتر و تستخدم عادة للقيام بأعمال متقدمة سأشرحها ان شاء الله في الاجزاء القادمة, بعد كتابة الامر و الضغط على enter بدأت عملية ترحيل للميتربرتر الى explorer و هو بروسس معروف في الويندوز سأترك لكم الاجابة على السؤال لماذا تم ترحيل الميتربرتر للقيام ب keylog ?

الى هنا ينتهي الجزئ الاول من الموضوع , نلتقي في القادم … مع تحياتي اخوكم حسين

2 تعليقان

Filed under Uncategorized

2 responses to “قوة الميتربرتر – الجزئ الأول

  1. michaelcorleone

    مشكور اخي الكريم على الموضوع لك مني اطيب تحيه والى الامام

  2. HD

    ha4e seyn, ye9er goulene koma gedeyt tejbar etha9ra??!!

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار ووردبريس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google photo

أنت تعلق بإستخدام حساب Google. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s