عملیات پسانفوذ در ویندوز

به مجموعه اقداماتی که هکر بعد از دسترسی به سیستم تارگت انجام می دهد عملیات پسانفوذ(post exploitation) گفته می شود. در این آموزش قصد داریم به وسیله ابزار قدرتمند Metasploit ابتدا از تارگت دسترسی بگیریم و بعد عملیات پست اکسپلویت روی آن انجام دهیم. با ما همراه باشید…

به طور کلی بعد از هک تارگت باید اقدامات زیادی جهت پایدار ماندن دسترسی و استخراج اطلاعات و مخفی کردن دسترسی هکر به سیستم انجام دهیم و یکی از اولین چالش های ما افزایش سطح دسترسی از user به administrator در سیستم تارگت است.

به این جهت وظیفه ما در عملیات پسانفوذ ویندوز اولویت ما افزایش سطح دسترسی در سیستم تارگت جهت اعمال تغییرات در سطح ادمین است.

متد ها و راه های زیادی برای این کار وجود دارد که در آینده به صورت تخصصی و کامل راجب آن بحث میکنیم، اما در ابزار متاسپلویت بعد  از هک تارگت جهت افزایش سطح دسترسی به ادمین، از دستور migrate استفاده می کنیم.

در ابتدا با دستور ps لیست پروسس های در حال اجرا در سیستم تارگت را بدست می آوریم و بعد باید پروسس آیدی (PID) برنامه در حال اجرا با سطح دسترسی ادمین را در سیستم تارگت پیدا کنیم .

بعد با دستور زیر باید پیلود (payload) که باعث ایجاد دسترسی ما به سیستم تارگت شده است را پیدا کنیم و آن را به پروسس سیستمی (explorer.exe) مهاجرت یا انتقال دهیم.

migrate -P (PID explorer.exe)

migrate -P 12553

در صورت موفقت آمیز بودن مهاجرت پیلود به پروسس سیستمی، سطح دسترسی ما در سیستم تارگت به ادمین ارتقا پیدا میکند.

می توانید با دستور shell کنترل cmd سیستم تارگت را با سطح ادمین در اختیار داشته باشید و دستورات cmd مختلفی جهت هرگونه تغییرات روی سیستم تارگت به اجرا دربیاورید.

دیگر دستورات استفاده شده در Metasploit در ویدیو آموزش:

با دستور shell به cmd سیستم تارگت دسترسی پیدا خواهید کرد و می توانید از دستورات cmd هم جهت اعمال تغییرات در سیستم تارگت استفاده کنید.

برای مشاهده کامل دستورات post exploit ، کافی است متن زیر را در کنسول Metasploit نوشته و دوبار کلید tab را بزنید.

run post/windows

در صورت ایجاد هرگونه مشکل و یا سوال در کامنت مطرح کنید.

 آموزش عملیات پسانفوذ ویندوز در سطح پیشرفته تر ادامه دارد…