فيديو: استخدام Evilgrade , Metasploit و Ettercap لاختراق نظام ويندوز
تقيمك :شرح اختراق نظام ويندوز باستخدام مشروع ميتاسبلويت لصنع باكدور ومشروع Evilgrade لانشاء تحديث وهمي خاص ببرنامج Notepad++ واستخدام برنامج Ettercap لعمل DNS Spoofing لتحويل الطلبات المرسلة لموقع التحديث الى سيرفر Evilgrade.
مبدأ العمل:
- نقوم بتكوين Backdoor باستخدام مشروع ميتاسبلويت بالخيارات التي تناسبنا.
- استخدام مشروع Evilgrade الذي سيقوم بتشغيل Web Server يحتوي على تحديث مزيّف لبرنامج Notepad++.
- استخدام برنامج Ettercap لتحويل أي طلب مرسل لموقع Notepad++ الى الويب سيرفر الذي قام Evilgrade بتشغيله.
شرح الفيديو:
ملاحظة:
تم الشرح تنفيذ الشرح لخداع برنامج Notepad++ كمثال مع العلم من امكانية استخدام مشروع Evilgrade لخداع البرامج التالية أيضا:
- sunjava
- winzip
- winamp
- itunes
- speedbit
- openoffice
- osx
- notepadplus
- dap
مراجع:
عن الكاتب:
زيد القريشي, Ethical Hacker مهتم في مجال الحماية والـ Penetration Testing. يملك خبرة في اختراق شبكات الوايرلس والبرمجة بلغة Python.

التعليقات
Unknown
19 أغسطس، 2009 الساعة 9:48 صالسلام عليكم ورحمة الله وبركاته
بوركت أخي الغالي , في الحقيقة نريد مواضيع مثل هته,التي ليس لها انتشار واسع في المنتديات العربية ,
جاري تحميل الفيديو / ☺
بالنسبة للشباب http://www.milw0rm.com/ شغال عندكم الآن ؟
وبارك الله فيكم ☻
Moh-Ec$perT
19 أغسطس، 2009 الساعة 11:09 مبارك الله فيك أخي
أنا مبتدأ في هذا المجال ممكن تنصحني بأي شيء مع العلم أنه لدي نظام ويندوز أكس بي
احمد
19 أغسطس، 2009 الساعة 11:24 ميعطيك العافيه اخي زيد
بس الويندوز كنت مشغله على فيترال بوكس داخل اليننوكس ولا كيف
مشكور عالجهد والشرح
تحياتي
BadEr
20 أغسطس، 2009 الساعة 4:31 ممشكور اخي زيد على الشرح
لاكن عند التطبيق .. اكون مشغل الويندوز xp من virtualbox
ﻻكن يعطيني ip في الشبكه غير عن الاي بي اللذي لدي في لينوكس !
اتمنى السؤال وضح لديك .. وشكرا ً مرة اخرى
Zaid
20 أغسطس، 2009 الساعة 10:14 مMoh-Ec$perT:اهلا فبك معانا
اذا كنت مبتدأ فخليك في الوندوز في البداية و حاول تتعلم و توسع معلوماتك قدر الامكان فكلنا كنا مبتدئين في البداية.
احمد: نعم قمت بتشغيل وندوز XP من برنامج virtual box داخل اللينكس
Abdullah:تعتمد عليك و على طريقتك في جمع المعلومات فلا توجد طريقة معينة لمعرفة هذا
BadEr: حسب فهمي لسؤالك فip الشبكة في الوندوز مختلف عنه في اللينكس
اذا كانت هذا الحالة فهذا شيء طبيعي لانك عندما تقوم بتشغيل جهاز وهمي داخل اللينكس فيقوم برنامج virtual box بربط الجهازين على شكل شبكة داخلية لذلك تشاهد الip مختلف لانه يكون ip الشبكة الداخلية
عبدالمهيمن
20 أغسطس، 2009 الساعة 10:52 ميمكن استخدام ما يعرف بالهندسة الاجتماعية للحصول على هذه المعلومات أو قد تتمكن من معرفة ذلك اذا تمكنت مسبقا من عمل ARP Spoofing والاطلاع على المواقع التي يتصفحها المستخدم وشاهدت موقع برنامج Notepad++ مثلا, وكما وضح الأخ زيد مشروع Evilgrade ليس موجه لبرنامج Notepad++ فقط بل يوجد برامج أخرى بعضها مشهور ويعتبر أساسي في الأجهزة مثل JAVA, OpenOffice…
وبالنسبة لميلوورم فالموقع لا يعمل معي حاليا.
– شكرا زيد على الشرح الأكثر من رائع 😉
Unknown
20 أغسطس، 2009 الساعة 12:01 ملكن با أخوي كيف نعرفو عندو برنامج Notepad + في جهازو ؟
Unknown
21 أغسطس، 2009 الساعة 3:26 مشكراً حزيلا ً ,على قيام الواجب ☺
رمضان مبارك لكل المسلمين والمسلمات ☻
في أمان الله ◘
diaa
21 أغسطس، 2009 الساعة 5:15 ماستاذ Zaid الشرح كان وافي وكامل
بس ممكن تعطيني روابط لشرح كيفية تنصيب ( Evilgrade , Ettercap )
انا فتحت الموقع لكن ما لقيت موضوع يشرح كيفية التنصيب
وشكراً لك
Zaid
22 أغسطس، 2009 الساعة 4:37 مdiaa:بالنسبة ل ettercap فهو متوفر على شكل حزم جاهزة على حسب التوزيعة اللتي تستخدمها او بامكانك ترحمته من المصدر
./configure
make
make install
اما evilgrade:
فلا يحتاج الى تنصيب فقط قم بتنزيله و تشغيله
diaa
23 أغسطس، 2009 الساعة 6:02 ماشكرك حبيبي على الرد
تم التنصيب وكل شي
بس عندي مشكلة في الميتا
انا استخدم توزيعة منت
وثبت الميتا عن طريق هذا الموضوع
http://www.linuxac.org/forum/linuxac4/thread19108.html
كيف استطيع استخدام طريقتك ؟؟
Mohamed
23 أغسطس، 2009 الساعة 6:52 مدرس ممتاز بحق ، و يتطلب بعض الدكاء و التفكير لابتكار طريقة مثل هده ،
ما لفت انتباهي هو DNS Spoofing يمكن استغلاله لسرقة حسابات و بريد ضحية ما باستخدام صفحة تسجيل مزورة مرفوعة و تحويل موقع مزود البريد الحقيقي الى الضفحة المزورة في جهاز الضحية ..
ولي سؤال : يمكنك استخدام هده الطريقة على ضحية في شبكة خارجية عادي ؟
مع تحياتي لك اخ Zaid .
mrloong
23 أغسطس، 2009 الساعة 12:45 مالسلام عليكم ورحمة الله وبركاته
بوركت أخي الغالي , في الحقيقة نريد مواضيع مثل هاذي والله يعطيكم العافيه وما قصرتو
عبدالمهيمن
24 أغسطس، 2009 الساعة 4:56 ماستخدام ميتاسبلويت خارج الشبكة المحلية أمر ممكن كما وضح الأخ زيد اذا كان يوجد للجهاز الذي تريد اختراقه IP ثابت ويمكنك الاتصال به بشكل مباشر وبما أن زيد استخدم الاتصال العكسي revers_tcp فهذا يعني أن جهازك أيضا يجب أن يكون له أيبي ثابت.
لكن تطبيق الشرح كامل على جهاز خارج الشبكة المحلية أمر غير ممكن لأن طريقة نقل البيانات بالشبكة الخارجية ليست مثل الشبكة المحلية التي تعتمد على الماك أدرس وبذلك لن نستطيع عمل ARP Spoofing أو DNS Spoofing.
Zaid
24 أغسطس، 2009 الساعة 12:52 معبد المهيمن: شكرا على مرورك و منووورنا
meloong :اهلا فيك و منور
diaa:حسب الموضوع الذي وضعته ففيه تم تنصيب الميتاسبلويت في المسار التالي
/usr/local/bin/msf
فعليك الدخول الى هذا المسار و تنفيذ اوامر الميتاسبلويت
Mohamed:الشرح على شبكة داخلية و لم اجربه على شبكة خارجية ولكنه ممكن و لكن مع بعض الشروط فأول شيئ يجب ان يكون لدى جهازك اي بي حقيقي اي static ip بالاضافة الى هذا فعدد الاجهزة التي سيتم العثور عليها سيكون كبير جدا مما سيسبب ضغط هائل على جهازك لن يتحمله بالاضافة الى انك ستعرض نفسك الى المسائلة القانونية
مجلاد السبيعي
25 أغسطس، 2009 الساعة 4:39 صالسلام عليكم ورحمة الله وبركاته
جربت evilgrade على اكثر من توزيعه مثل فيدورا اوبونتو باك تراك ولم يعمل وتظهر رسالة خطء :
Can’t locate Data/Dump.pm in @INC (@INC contains: /usr/local/lib/perl5/site_perl/5.10.0/i386-linux-thread-multi /usr/local/lib/perl5/site_perl/5.10.0 /usr/lib/perl5/vendor_perl/5.10.0/i386-linux-thread-multi /usr/lib/perl5/vendor_perl/5.10.0 /usr/lib/perl5/vendor_perl /usr/lib/perl5/5.10.0/i386-linux-thread-multi /usr/lib/perl5/5.10.0 /usr/lib/perl5/site_perl .) at isrcore/Shell.pm line 28.
BEGIN failed–compilation aborted at isrcore/Shell.pm line 28.
Compilation failed in require at (eval 1) line 3.
…propagated at /usr/lib/perl5/5.10.0/base.pm line 93.
BEGIN failed–compilation aborted at isrcore/shellz.pm line 29.
Compilation failed in require at ./evilgrade line 24.
BEGIN failed–compilation aborted at ./evilgrade line 24.
ماهي المشكله ؟
diaa
25 أغسطس، 2009 الساعة 12:06 مشكراً لك اخي Zaid
جاري التجربة
تحياتي لك
majed
26 أغسطس، 2009 الساعة 7:52 مللذين لديهم نفس المشكله انا واجهتني هذه المشكله لكن بعد البحث
يجب عليك تثبيت
Data-Dump
وانا لدي الرابط
http://search.cpan.org/CPAN/authors/id/G/GA/GAAS/Data-Dump-1.15.tar.gz
فك الضغط وادخل الى الملف واكتب
perl Makefile.PL
make
make install
بعد تطبيق الحل البرنامج اشتغل عندي :). ..
مجلاد السبيعي
26 أغسطس، 2009 الساعة 9:42 موجدت هذا الحل في مدونه اجنبيه وهو يحتاج لتنصيب بعض الحزم وهي :
sudo apt-get install libdata-dump-perl libdigest-md5-file-perl libmd5-perl libdbix-profile-perl
وبعد التنصيب عمل البرنامج معي وهذا هو المصدر :
http://airodump.net/evilgrade-toolkit-helping-with-fake-updates/
بالتوفيق
Zaid
27 أغسطس، 2009 الساعة 12:00 صصح صح كلامك صحيح عبد المهيمن هذه عبرت علي
لان الـdns spoof تعتمد على خداع الاجهزة عن طريق الماك ادرس لذلك فلن نتمكن من عمل dns spoof على شبكة خارجية
و بالتسبة للمشكلة في التنصيب هي بسبب نقص بعض المكتبات و لمشاهدة المكتبات المطلوبة فهي موجودة في ملف readme الموجود مع البرنامج
شكرا لمجلاد السبيعي و majed لشرحهم كيفية تنصيب هذه المكتبات
[Mr.LeONaL]
26 أغسطس، 2009 الساعة 1:32 موأناعندي نفس مشكلة
مجلاد السبيعي
عبد العزيز حسن
27 أغسطس، 2009 الساعة 6:24 صلافديو لا يعمل يا اخي لا اعلم هي هو يعمل
عنكم ولا يعمل عندي ؟؟؟
ZEZO
30 أغسطس، 2009 الساعة 1:20 مبارك الله فيك ياأخى
وانا مازلت مبتدىء فى عالم الشبكات والامان وحلمى ان اصبح محقق جرائم الكترونية ان شاء الله ( مع العلم انى مهندس اتصالات )
ورمضان مبارك على الجميع
مجلاد السبيعي
19 سبتمبر، 2009 الساعة 5:00 مالسلام عليكم ورحمة الله وبركاته
ارجو من الاخوه القائمين على الموقع عمل شرح للأداة ettercap وبالاخص عمل كومبايل للفيلتر حيث انه واجهتني مشاكل في الكومبايل ولا اعلم لها حل وشكرا على المجهود الجبار
S4udi h4ck
7 نوفمبر، 2009 الساعة 8:08 مزيد اعجبني موهبتك ودي اتعلم معاك برايفت وكون صديق لك ومساعد 🙂 في الشرواحت
اذا ما عليك امر :$
jnx-@hotmail.com
Skull-HAck3r
19 ديسمبر، 2009 الساعة 7:22 صNice ..
f0r
N00bs
Fares
27 يناير، 2010 الساعة 4:38 مشكراً لك اخي Zaid
abdelsidi
7 فبراير، 2010 الساعة 9:05 صmajed شكراً جزيلاً لقد نجحت معي واستطعت تثبيت evilgrade وننتظر الجديد في عالم penetration testing
after.error
25 أبريل، 2010 الساعة 12:27 صانا اخ جديد فى الهاك ونفسى اتعلم الهاكرز بجد وانا عضو فى موقع القراصنة العرب وموقع منظمة الهكر العربى وموثع الهكر الاسلامى ومنتدى العاصفة ولكن الحق والله ما رأيت ناس عندها علم فى مجال الكمبيوتر والهاك مثل هنا والله بجد ولذلك اريد انا اتعلم منك الهكرز اختراق المواقع والسيرفرات والاجهزة لانى والله انا ملتزم ونفسى اخدم دينى بجانب العلم الشرعى الى اتعلمه رجاء بالله عليكم احد يرد عليا ويتابعنى
هذا رجاء ليس الزام
اخوكم الزلزال السلفى
التوقيــــــــع::
After.Error
ihab
5 مايو، 2010 الساعة 10:45 ماخ زيد الطريقة رائعة ولكن هل فكرت بطريقة للحماية منها
زيد القريشي
6 مايو، 2010 الساعة 2:22 صاهلا فيكم اخوان في الموقع و ارجو ان تستفادو من الشروحات الموضوعة هنا.
ihab: بالنسبة للحماية ففي البداية يجب التفكير في العامل الاساسي في الهجوم و هو عمل dns spoofing و الذي يعد نوع من هجمات MITM حيث يقوم المهاجم بايهام الاجهزة الموجودة بالشبكة بان جهاز المهاجم هو الراوتر مما يؤدي الى تحكمه بالشبكة. لذلك فللحماية يجب علينا منع هجمات MITM. سبب وجود هجمات arp spoofing هو عدم مراعاة الناحية الامنية عند برمجة بوتوكول TCP/IP لذلك قالحماية من هذه الحجمات ليس بالامر السهل. الان بالامكان استخدام سوتش مثل ARP Guard للحماية من هجمات arp spoofing.
طريقة ثانية هية استخدام اي اداة لمراقبة الشبكة مثل arpwach طبعا الاداة لن تمنع هذه الهجوم و لكننا سنعرف اذا كان هناك احد في الشبكة يحاول القيام بـarp spoofing .
^احمد^
29 مايو، 2010 الساعة 2:57 صالسلام عليكم ورحمة الله …
اخي زيد لدي سؤال من فضلك .
1- انا لا اعرف اي حرف بنظام لينكس هل استطيع تطبيق الشرح على نظام وندوز XP SP2
شكرا لك وبارك الله فيك وفي علمك
H4kr3m
30 يونيو، 2010 الساعة 3:02 ميقول FATAL: ARP poisoning does not support this media.
وش يحل يعني ايبي غير مثبت ):
زيد القريشي
30 يونيو، 2010 الساعة 11:16 مH4kr3m: يوجد لديك مشكلة في كارد الوايرلس
تأكد من اختيار الكارد الصحيح
زيد القريشي
30 يونيو، 2010 الساعة 11:16 م^احمد: لا لا يمكن تطبيق الشرح من الوندوز
H4kr3m
30 يونيو، 2010 الساعة 2:58 مالسلام عليكم اولا اخي اشكرك على الدرس ،،
بالفعل اعجبني لكن سبق ان رايته لكن بعد التطبيق
ووضعت امر اتركاب ettercap يقول
FATAL: MITM attacks can’t be used on unconfigured interfaces
ياريت يوجد الحل وبارك الله فيكم ،،
bozo
30 يونيو، 2011 الساعة 7:33 مالسلام عليكم كيفك أخوي عساك طيب ..
ماشاء الله عليك مبدع ..
لاكن عندي كم سؤال ..
هل الطريقه تحتاج اتصال vbn
و هل الطريقه تحتاج فتح بورت 4444
و هل الباك دور .. الذي يأتي للتحديث يكون مكشوف
و هل تنفع على جهاز خارج الشبكه
و مشكور مقدماً