search

🧪 2. مسح آثار Linux ( Clearing Your Tracks On Linux Lab)

🎯 الهدف الأساسي: إزالة جميع الأدلة على وجودك وأنشطتك من نظام Linux المستهدف، بما في ذلك مسح سجلات Bash History وحذف الملفات التي تم رفعها.

🔧 الأدوات المستخدمة:

  • Nmap

  • Metasploit Framework (MSFConsole)

  • exploit/unix/samba/is_known_pipe (Metasploit module)

  • Linux Bash Shell commands: /bin/bash -i, history -c, rm ~/.bash_history, rm [filename], cat /dev/null > /var/log/syslog

📜 خطوات التنفيذ:

📊 أولاً: الاستطلاع والفحص والاستغلال (Reconnaissance, Scanning & Exploitation) 🗣️ إذا حصلت على عنوان IP الخاص بالنظام المستهدف.

  • لو نفذت فحص Nmap على المنفذ 445:

    nmap -sV -p 445 [Target IP]

    فسوف يظهر أن خدمة Samba بإصدار 3.x تعمل على المنفذ 445.

  • لو استخدمت وحدة استغلال exploit/unix/samba/is_known_pipe في Metasploit:

    msfconsole -q
use exploit/unix/samba/is_known_pipe
set RHOSTS [Target IP]
exploit

    فسوف تحصل على جلسة Command Shell.

  • لترقية Command Shell إلى Bash Shell تفاعلي:

    /bin/bash -i

    فسوف تحصل على جلسة Bash Shell تفاعلية.

📊 ثانياً: مسح سجلات Bash History (Post-Exploitation - Clearing Tracks)

  • لماذا نمسح سجلات Bash History؟: يقوم Linux بتخزين الأوامر التي يتم إدخالها في Shell في ملف يسمى .bash_history (مخفي). مسح هذا السجل يزيل الأدلة على الأوامر التي قمت بتنفيذها.

  • لو كنت داخل جلسة Bash Shell.

  • 🔑لو كتبت الأمر التالي لمسح سجل الأوامر الحالي:

    فسوف يتم مسح سجل الأوامر الحالي.

  • 🔑لإزالة ملف .bash_history بالكامل:

    فسوف يتم حذف الملف، مما يضمن عدم وجود أي سجلات سابقة.

    • للتحقق (بعد حذف الملف):

      فسوف تجد أن ملف .bash_history لم يعد موجوداً.

📊 ثالثاً: حذف الملفات والأدوات التي تم رفعها ومسح سجلات النظام (Post-Exploitation - Clearing Tracks)

  • حذف الملفات يدوياً (إذا تم تخزينها في مجلد مؤقت):

    • لو قمت بتخزين الملفات في مجلد مؤقت (مثل /tmp).

    • لو كتبت الأمر التالي لحذف ملف:

    • أو لحذف مجلد بالكامل:

  • مسح سجلات النظام (Log Files) (يتطلب صلاحيات Root):

    • لو كنت داخل جلسة Shell (بصلاحيات Root).

    • لو كتبت الأمر التالي لمسح محتوى ملف سجل النظام (syslog):

      فسوف يتم مسح محتوى ملف السجل المحدد. يمكنك تطبيق هذا على ملفات سجل أخرى في مجلد /var/log.

نقاط التحقق:

  • الوصول إلى Bash Shell.

  • 🔑 نجاح مسح سجل الأوامر باستخدام history -c.

  • 🔑 نجاح حذف ملف .bash_history باستخدام rm ~/.bash_history.

  • القدرة على حذف الملفات التي تم رفعها يدوياً.

  • القدرة على مسح سجلات النظام (إذا كنت بصلاحيات Root).

Previous🧪1. مسح آثار Windows ( Clearing Your Tracks On Windows Lab)Next🥸11- Social Engineering

Last updated