ما كتبته بالأعلى هو واقع تجربة حدثت مع كاتب هذه الكلمات وأنا متأكد إنها حدثت مع الكثير من قراءها !

توزيعة Security Onion مشكوراً مطورها السيد Doug Burks سهل علينا من خلالها الكثير من المتاعب التي كنا نلاقيها حين قمنا بتجربة تنصيب وإعداد برمجيات مثل: Snort و Sguil و Suricata وغيرها من الأدوات المتعلقة بمجال أنظمة كشف الدخلاء.

إذن ما هي Security Onion ؟
هي ببساطة عبارة عن توزيعة لينوكس مبنية على توزيعة Xubuntu وذلك لتركيب، إعداد وتجربة أنظمة كشف الدخلاء وتحليلها … يشرف على تطويرها السيد Doug Burks … وتحتوي على برمجيات عدة مثل: Snort، Suricata, Sguil, ,Xplico ,nmap و scapy, hping, netcat, tcpreplay وغيرها الكثير …

التوزيعة يأتي عليها نسخة Snort 2.9.0 بشكل أساسي وكذلك نظام كشف الدخلاء الآخر Suricata والذي يمكنك التحول من واحد الى آخر بسهولة وذلك لتجربة كلاهما … وأيضاً يمكنك إضافة القوانين أو كتابة القوانين الخاصة بك مع إمكانية تحديث القوانين إما من خلال Emerging Threats أو من خلال Snort VRT … كذلك يمكنك تحليل هذه البيانات إما من خلال Sguil أو من خلال واجهته الأخرى Squert التي تعمل من المتصفح …

كذلك يوجد مجموعة من أفضل أدوات الـ Packet Crafting وذلك لإختبار أنظمة كشف الدخلاء هذه أو أي أنظمة أخرى، مثل: nmap و hping3 و inundator و ostinato و scapy و metasploit الى آخره …

صراحة التوزيعة رائعة وعملية تنصيبها مثلها مثل تنصيب أي توزيعة أوبنتو أخرى، وإعداد Sguil عليها عبارة عن بعض الضغطات من الأزرار ليس إلا … كل ما عليك فعله هو وضعها في المكان الصحيح سواءاً من خلال TAP أو من خلال Inline mode … أختر ما يناسبك … للحصول على التوزيعة، أضغط هنا … وللذهاب للموقع الرسمي أضغط هنا …

وكذلك عزيزي القاريء إن كنت جديد على التوزيعة بشكل عام وعلى الأداة Sguil بشكل خاص؟ أنصحك بمتابعة السلسلة التي يقوم بها مطور الأداة، والتي يمكن أن تجدها هنا:
Introduction to Sguil and Squert: Part 1
Introduction to Sguil and Squert: Part 2
Introduction to Sguil and Squert: Part 3
Introduction to Sguil and Squert: Part 4

© Ali for مجتمع الحماية العربي, 2011. | Permalink | 2 comments | Add to del.icio.us
Post tags: hping, IDS, inundator, IPS, Metasploit, netcat, Nmap, ostinato, scapy, Security Onion, Sguil, snort, Squert, Suricata, tcpreplay, Xplico, Xubuntu

Feed enhanced by Better Feed from Ozh

الاصدارة الجديدة سوف تسمح لعاملين الأمنيّين، بإطلاق مسح بواسطة NeXpose من خلالها. ومن ثمّ تعطي إمكانية من خلال نفس لوحة التّحكم من عمل تنفيذ لاستغلالها.
(...)
Read the rest of نسخة تجاريّة من Metasploit (17 words)

© بشار for مجتمع الحماية العربي, 2010. | Permalink | 18 comments | Add to del.icio.us
Post tags: Metasploit, Metasploit Express, Rapid7, ماسحات الثّغرات

Feed enhanced by Better Feed from Ozh

لنقم بعمل تجربة بسيطة … الأداة في إعداداتها الأساسية تقوم بتنفيذ إستغلال واحد ضد الـ localhost او 127.0.0.1 ولهذا لنقوم بتغيير هذه الأعدادات لتناسب ما نريد … أضغط على أيقونة Config وقم بتعديل الهدف … أي ضع الهدف الذي تريد أن تختبره … وبعد ذلك قم أيضاً بتفعيل Full Audit لكي يقوم بتنفيذ جميع الثغرات الموجودة في مخازنه وليس فقط ما تقوم بإختياره … أيضاً هناك خيار جميل وهو إعطائك Alert حين يتم إيجاد ثغرة وإستغلالها قم بتفعيلها إذا أردت …
(...)
Read the rest of إستخدام Attack Tool Kit لعمل PenTest بسيط (67 words)

© Ali for مجتمع الحماية العربي, 2010. | Permalink | 14 comments | Add to del.icio.us
Post tags: ATK, Attack Tool Kit, GPL, Metasploit, Nessus, Penetration Testing

Feed enhanced by Better Feed from Ozh

msf > use auxiliary/gather/dns_enum

لإستعراض الخيارات كلها:

msf auxiliary(dns_enum) > info

       Name: DNS Enumeration Module
    Version: 7825
    License: Metasploit Framework License (BSD)
       Rank: Normal

Provided by:
  Carlos Perez 

Basic options:
  Name         Current Setting                                    Required  Description
  ----         ---------------                                    --------  -----------
  DOMAIN                                                           yes       The target domain name
  ENUM_AXFR    true                                               yes       Initiate a zone Transfer against each NS record
  ENUM_BRT     false                                              yes       Brute force subdomains and hostnames via wordlist
  ENUM_RVL     false                                              yes       Reverse lookup a range of IP addresses
  ENUM_SRV     true                                               yes       Enumerate the most common SRV records
  ENUM_STD     true                                               yes       Enumerate standard record types (A,MX,NS,TXT and SOA)
  ENUM_TLD     false                                              yes       Perform a top-level domain expansion by replacing TLD and testing against IANA TLD list
  IPRANGE                                                         no        The target address range or CIDR identifier
  NS                                                              no        Specify the nameserver to use for queries, otherwise use the system DNS
  STOP_WLDCRD  false                                              yes       Stops Brute Force Enumeration if wildcard resolution is detected
  WORDLIST     /home/binary/bin/msf3/data/wordlists/namelist.txt  no        Wordlist file for domain name brute force.

Description:
  This module can be used to enumerate various types of information
  about a domain from a specific DNS server.

References:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0532

جميل جداً، إذن لعمل Zone Transfer لدومين معيين كل الذي علينا فعله هو:

msf auxiliary(dns_enum) > set DOMAIN arabnix.com

السبب، هو إن الخيار ENUM_AXFR والذي هو مختص بعملية Zone Transfer كما تلاحظون تم تفعيله “true” … الآن تشغيله:

msf auxiliary(dns_enum) > run

(...)
Read the rest of عمل DNS Enumeration بإستخدام Metasploit (92 words)

© Ali for مجتمع الحماية العربي, 2010. | Permalink | 5 comments | Add to del.icio.us
Post tags: auxiliary, DNS Enumeration, dns_enum, Hosts, Metasploit, msf, Subdomains

Feed enhanced by Better Feed from Ozh

ولهذا يعتبر dradis من أفضل تطبيقات الويب التي توفر مستودع مركزي للمعلومات يستطيع جميع المرتبطين في عمل ما أن يتابعوا ما تم إنجازه وماذا لم ينجز بعد.

صورة من الموقع الرسمي:

ميزات dradis هي:
- سهولة في توليد التقارير
- يدعم المرفقات
- الربط مع أنظمة وأدوات عدة من خلال Server Plugins.
- لا يعتمد على نظام محدد، يعمل على جميع الأنظمة.
(...)
Read the rest of dradis – Effective Information Sharing (140 words)

© Ali for مجتمع الحماية العربي, 2010. | Permalink | 2 comments | Add to del.icio.us
Post tags: dradis, Metasploit, اختبارات الاختراق

Feed enhanced by Better Feed from Ozh

vim NeXpose.rc

وضع فيه التالي:

db_create nexpose test.db
load nexpose
nexpose_connect nxadmin:password@localhost:3780
nexpose_scan -v -x -t pentest-audit 172.16.1.55

أغلق الملف وأحفظه … ولنوضح ما هي هذه السطور:
السطر الأول: قمنا بعملية إنشاء قاعدة بيانات لـ NeXpose …
السطر الثاني: قمنا بعملية تحميل NeXpose …
السطر الثالث: قمنا بعملية الإتصال على خادم NeXpose ووضعنا أسم المستخدم المراد إستعماله مع كلمة السر الخاصة به … في حالة كنت تستعمل NeXpose على خادم وتستعمل Metasploit من خادم آخر، قم بإسبتدال localhost بعنوان الـ IP الخاص بخادم NeXpose … أنا أستعمل خادم مركزي للامانة وأستعمل Metasploit من جهاز لاب توب قديم جداً ولا يتحمل أن يعمل عليه NeXpose ولهذا أستفيد من كونه عن بعد …
السطر الرابع: قمنا بتشغيل الفحص مع إختيار نوع الفحص والذي هنا هو pentest-audit وأيضاً أعطيناه الهدف المطلوب الفحص عليه، قم بإستبداله بما يناسبك … والخيار x هو لكي يقوم بتنفيذ أي إستغلال يكتشفه وقادر على إستغلاله بعد إنتهاء الفحص …
(...)
Read the rest of كيفية إستعمال NeXpose من داخل Metasploit لتنفيذ هجوم (348 words)

© Ali for مجتمع الحماية العربي, 2010. | Permalink | 7 comments | Add to del.icio.us
Post tags: Metasploit, msfconsole, NeXpose, nexpose_connect, nexpose_scan, اختبارات الاختراق

Feed enhanced by Better Feed from Ozh

الحل ليس صعب ولكنه أخذ مني بعض الوقت للأمانة وكان على النحو التالي (أفترض إنك بداخل مجلد الميتاسبلويت):

./msfpayload windows/shell_bind_tcp R > /root/rawfile

هكذا عملنا الـ Shell Code ولكن الناتج على شكل RAW وليس على شكل كود C كما هو معتاد … وبعد ذلك قمت بعمل أنكود له:

./msfencode -i /root/rawfile -t c -b '\x00'

(...)
Read the rest of حل مشكلة توليد msfpayload لـ Null Byte (114 words)

© Ali for مجتمع الحماية العربي, 2010. | Permalink | 3 comments | Add to del.icio.us
Post tags: Debugger, JMP ESP, Metasploit, msfencode, msfpayload, Null Byte, OllyDbg, Shell Code, SHELL32.dll, USER32.dll

Feed enhanced by Better Feed from Ozh

قمت بالبدأ بإستعمال NeXpose في شبكتنا المحلية في العمل وذلك لغرض التجربة والتأكد من إمكانياته وبعدها نقوم بتطبيقه في بيئة العمل … التجربة أثبتت بإنه نظام أو أداة مميزة جداً ومفيدة جداً وشخصياً بدأت أثق بها أكثر من Nessus رغم قدم Nessus في هذا المجال إلا إن NeXpose أثبت جدارته وكفائته … الدقة في النتائج والتوضيحات الرائعة للخلل المكتشف وأيضاً السرعة الغير طبيعية !!! الفحص كان جداً أسرع من فحص Nessus طبعاً لا نستطيع أن نقوم Nessus أبطأ لكن النظام NeXpose كان سريعاً جداً جداً ودقيق حتى في نتائجه … بعد تجربته بشكل دقيق في العمل وتجربة الكثير من ميزاته مثل التقارير وحتى الـ Alarms الإنذارات، قررنا بعد موافقة إدارة الشركة أن نقوم بتطبيقه على بيئة العمل الحقيقية في الفترة القادمة إن شاء الله … حيث سأقوم بإستبدال Nessus بـ NeXpose أو ممكن إستعمال كلاهما للحصول على نتائج دقيقة والتأكد من نتائج واحد ضد الآخر وهكذا (رغم إنه سيصبح جهد مضاعف) …
(...)
Read the rest of NeXpose Community Edition – vulnerability scanning and penetration testing tool (426 words)

© Ali for مجتمع الحماية العربي, 2010. | Permalink | 7 comments | Add to del.icio.us
Post tags: Alarms, assessment, False Positives, Metasploit, Nessus, NeXpose, penetration, Pentesting, Policies, Rapid7, vulnerability scanning, أدوات, اختبارات الاختراق, ثغرة, فحوصات, ماسحات الثّغرات

Feed enhanced by Better Feed from Ozh