Post Exploitation چیست و معرفی برخی دستورات آن در سیستم عاملهای مختلف

هنگامی که  نفوذگر (پس از تحقیق و بررسی) به وسیله Exploit موفق به نفوذ به یک سیستم  شد، در این مرحله تازه کار او به عنوان نفوذگر آغاز خواهد شد و اما فاز Post Exploitation چیست Post Exploitation در واقع مرحله ای است که در آن هر گونه عملیات نفوذگر پس از نفوذ شکل خواهد گرفت و نباید فراموش کرد همه ی مراحل طی شده تا این فاز فقط شامل یافتن آسیب پذیری های سیستم مورد نظر و یا یافتن آنها جهت انجام Exploit  است.برای کسب اطلاعات در حوزه اکسپلویت چیست به شما پیشنهاد می شود مقاله تخصصی ما را مطالعه نمایید.

در  مرحله (Post Exploitation)، وقت آن فرا میرسد که سیستم یا برنامه یا داده مورد نظر را که در واقع طرح نهایی نفوذ است، توسط نفوذگر یافت شود و اگر نفوذگر به هر دلیلی قادر نباشد در این مرحله داده های مورد نیاز را بدست آورد، عملیات نفوذ از ارزش کافی برخوردار نخواهد بود بنابر این هر گونه برنامه ریزی و خلاقیت در این مرحله میتواند نفوذگر را در رسیدن به اهدافش ناکام بگذارد.

مراحل موجود در فاز Post Exploitation چیست؟

۱-تجزیه و تحلیل زیرساخت

یک نفوذگر نیازمند آن است که بداند چه داده هایی از سیستم میزبانی که مورد نفوذ قرار گرفته قابل دسترسی است و همچنین چه پروتکل هایی اعم از پروتکل های مسیریابی مختلف، موجود است  و یا چه سرویس هایی و یا چه سیستم عاملی در دسترس می باشند. این اطلاعات به نفوذگر اجازه میدهد که ساختار داخلی شبکه را ارزیابی نموده و مکانیزم های کنترل واقع در مرز های یک شبکه را شناسایی نماید.

در اختیار گرفتن یک سیستم از طرف نفوذگر، این امکان را به او خواهد داد که کنترل های امنیتی که دسترسی او را به اطلاعات حساس محدود می نماید ، بر اساس IP داخلی کسب نماید. دانستن اینکه چه سرویس هایی در حال اجرا می باشند بر روی سیستم مورد حمله میتواند نفوذ گر را به سمت حملات دیگر همچون DNS Spoofing و یا ARP Spoofing سوق دهد.

۲-اهداف، جهت نفوذ به سیستم های High Profile یا ارزش بالا

گاها سیستم های با ارزش در همان مراحل نهایی نفوذ تشخیص داده می شوند (هر چند از نوع تست های نفوذ گر و لیست دستورات که در انتهای این مقاله آمده است میتوان اطلاعات بیشتری را در مورد سیستم قربانی کسب نمود). گاهی هنگامی که سیستم قربانی مورد نفوذ قرار میگیرد ، نفوذگر متوجه آن خواهد شد که سیستم قربانی از نظر ساختار مشابه سیستم های با داده های با ارزش نمی باشد ولی در واقع سیستم ذکر شده اهمیت و ارزش بالایی از نظر اطلاعات دارد. بارها اتفاق افتاده است که برخی سیستم ها، کنترل های امنیتی مانند سیستم مانیتورینگ فایل ها ، IDS/IPS/HIDS  و غیره  که بر روی محیط های توسعه خود پیاده سازی مینمایند ، بر روی کلاینت های خود پیاده سازی نکرده و بدین صورت  فاز Post Exploitation راحتی را برای نفوذگر فاقد هرگونه ریسک شناسایی، مهیا خواهد ساخت. هنگامی که سیستم های ذکر شده مورد نفوذ قرار میگیرند (توسط Exploit ها)، در فاز Post Exploit سیستم های با ارزش بالا شناسایی شده و اطلاعات آنها در این فاز مهم میتواند محور اصلی نفوذ قرار گیرد (سیستم های ارزش بالا سیستم هایی هستند که در آنها اطلاعات و داده های مهم پردازش ، نگهداری و انتقال می یابند مانند سیستم های ذخیره اطلاعات کارت اعتباری).

۳-غارتگری Pillaging

بهتر است برای درک این موضوع جنگجویان قدیم یا وایکینگ ها را در نظر بگیرید که به دهکده ای حمله می نمودند و  به دنبال اشیاء با ارزش میگشتند و در حقیقت کلید اصلی یک نفوذ موفق نیز میتواند همین موضوع باشد!  آنها به دنبال اشیاء مهم میگشتند و می دانستند که چه چیزی از ارزش بالایی برخوردار بوده است و این موضوع را میتوان به اعمال پس از نفوذ یک نفوذ گر (فاز Post Exploitation) که در آن باید به دنبال داده های با اهمیت بالا بگردد و آنها را در حقیقت بدست آورد تعمیم داد.

به صورت معمول این عمل را میتوان با دسترسی به پایگاه های داده ، فایل های مهم و با اعتبار مانند مخازن فایل های پشتیبان، عملی ساخت. بلافاصله هنگامی که فایل های با ارزش شناسایی شدند نفوذگر باید آنها را از شبکه داخلی خارج سازد. با استفاده از تکنیک های خروج که بر روی پورت های خروجی پیاده سازی میشوند تا فایل ها را در اختیار  نفوذگر قرار دهند.

میتوان زمانی را در نظر گرفت که DNS ناکارآمد بوده (برای کسب اطلاعات در حوزه dns سرور به شما پیشنهاد می شود مقاله ما را مطالعه نمایید.) و همه ی خروجی ها به نوعی Encrypt یا رمز نگاری شده و یا به نوعی اینطور به نظر آیند که به سمت و سوی کاربری مشابه مانند “همکار A” و یا میتوانند به نوعی به سمت یک سرویس میزبانی فایل اشتراکی مانند DropBox فرستاده شوند، و حال سوال این است که آیا کسی برای این جریان داده ها اهمیتی قائل است؟ در واقع میتوان گفت نفوذ های چند لایه و تاکتیک های پیچیده جهت عدم شناسایی و عدم شناخته شدن نفوذ گر در مرحله Post Exploitation و یا حتی در مرحله قبل آن مانند  Exploiting تاثیر مستقیم بر روی کارآمد بودن یک نفوذ دارد.

۴-پاکسازی

در حقیفت مهم ترین مرحله در فاز Post Exploitation، فاز پاکسازی است. در این فاز نفوذگر باید تمامی رد پاهای Exploiting را جهت عدم شناسایی از بین ببرد. برخی از راه ها مانند استفاده از backdoor ها یا Root-Kit ها میتوانند دسترسی های بعدی یک نفوذگر به سیستم را آسان تر سازند و درواقع مرحله مهم این کار این است که نفوذ گر از تمامی این راه ها یادداشت برداری نماید تا پس از اتمام کار هیچ گونه ردی یا نشانی از فایل های مخرب بر روی سیستم مورد نظر بر جای نماند. در مرحله آخر باید همه ی log های مورد نظر از روی سیستم پاکسازی شود و  هدف آن است که سیستم به حالت قبل از نفوذ برگشت داده شود.

[irp posts=”11412″ name=”ترفندهایی برای حفاظت از سیستم عامل”]

برخی دستورات مربوط به مرحله یا فاز Post Exploitation در سیستم عامل های مختلف Windows ,Linux ,MacOS

سیستم عامل ویندوز و مشاهده فایل های مهم

سیستم عامل لینوکس و مشاهده فایل های مهم

[php] ls -dlR */ #
ls -alR | grep ^d
find /var -type d
ls -dl `find /var -type d`
ls -dl `find /var -type d` | grep -v root
find /var ! -user root -type d -ls
find /var/log -type f -exec ls -la {} ;
find / -perm -4000 (find all suid files)
ls -alhtr /mnt
ls -alhtr /media
ls -alhtr /tmp
ls -alhtr /home
cd /home/; treels /home/*/.ssh/*
find /home -type f -iname ‘.*history’
ls -lart /etc/rc.d/
locate tar | grep [.]tar$ # Remember to updatedb before running locate
locate tgz | grep [.]tgz$
locate sql | grep [.]sql$
locate settings | grep [.]php$
locate config.inc | grep [.]php$
ls /home/*/id*
.properties | grep [.]properties # java config files
locate .xml | grep [.]xml # java/.net config files
find /sbin /usr/sbin /opt /lib `echo $PATH | ‘sed s/:/ /g’` -perm /6000 -ls # find suids
locate rhosts
[/php]

سیستم عامل مکینتاش و مشاهده فایل های مهم

[php] -ma ~/

ls -alh /Users/

ls -alh /Users/*/.ssh/

ls -alh /Users/*/.gnupg/

ls -alh /Volumes/
[/php]

سوالات متداول