search

🧪1. مسح آثار Windows ( Clearing Your Tracks On Windows Lab)

🎯 الهدف الأساسي: إزالة جميع الأدلة على وجودك وأنشطتك من نظام Windows المستهدف، بما في ذلك مسح سجلات أحداث Windows وحذف الملفات التي تم رفعها.

🔧 الأدوات المستخدمة:

  • Nmap

  • Metasploit Framework (MSFConsole)

  • exploit/windows/http/badblue_passthru_overflow (Metasploit module)

  • Meterpreter commands: clearev

  • Windows Event Viewer (للتحقق)

  • Metasploit cleanup.rc (إذا تم إنشاؤه)

  • Windows Command Shell commands: del, rmdir /s /q (لحذف الملفات يدوياً)

📜 خطوات التنفيذ:

📊 أولاً: الاستطلاع والفحص والاستغلال (Reconnaissance, Scanning & Exploitation) 🗣️ إذا حصلت على عنوان IP الخاص بالنظام المستهدف.

  • لو نفذت فحص Nmap على المنفذ 80:

    nmap -sV -p 80 [Target IP]

    فسوف يظهر أن خدمة Bad Blue 2.7 تعمل على المنفذ 80.

  • لو استخدمت وحدة استغلال exploit/windows/http/badblue_passthru_overflow في Metasploit:

    msfconsole -q
use exploit/windows/http/badblue_passthru_overflow
set RHOSTS [Target IP]
exploit

    فسوف تحصل على جلسة Meterpreter على النظام المستهدف.

📊 ثانياً: مسح سجلات أحداث Windows (Clearing Windows Event Logs) (Post-Exploitation - Clearing Tracks)

  • لماذا نمسح سجلات الأحداث؟: تسجل أنظمة Windows جميع الأنشطة (بما في ذلك تسجيلات الدخول والعمليات الأمنية) في سجلات الأحداث (Event Logs). مسح هذه السجلات يزيل الأدلة على وصولك إلى النظام.

  • 🔑لو كنت داخل جلسة Meterpreter.

  • لو كتبت الأمر التالي:

    فسوف يقوم هذا الأمر بمسح جميع سجلات الأحداث (Application, System, Security) على النظام المستهدف. (ملاحظة: سجلات الأمان Security logs هي الأكثر أهمية للمهاجمين).

  • للتحقق (على النظام المستهدف):

    • لو فتحت Event Viewer (من قائمة Start).

    • فسوف تجد السجلات فارغة.

📊 ثالثاً: حذف الملفات والأدوات التي تم رفعها (Post-Exploitation - Clearing Tracks)

  • لماذا نحذف الملفات؟: يجب إزالة أي ملفات أو سكريبتات أو أدوات قمت برفعها إلى النظام المستهدف (مثل أدوات رفع الامتيازات أو Persistence).

  • التعامل مع Artifacts التي تم إنشاؤها بواسطة Metasploit:

    • لو استخدمت موديولات Metasploit، فقد تقوم بإنشاء ملفات أو خدمات مؤقتة.

    • إذا كان الموديول يولد "cleanup Metasploit resource script" (cleanup.rcفعليك تشغيله على msfconsole بعد الانتهاء (resource [مسار cleanup.rc]).

  • حذف الملفات يدوياً (إذا تم تخزينها في مجلد مؤقت):

    • لو دخلت إلى Command Shell (عن طريق shell في Meterpreter).

    • لو توجهت إلى المجلد الذي يحتوي على الملفات (مثلاً C:\Temp).

    • لو كتبت الأمر التالي لحذف ملف:

    • أو لحذف مجلد بالكامل:

نقاط التحقق:

  • الوصول إلى جلسة Meterpreter.

  • 🔑 نجاح مسح سجلات أحداث Windows باستخدام clearev.

  • تأكيد أن سجلات الأحداث فارغة في Event Viewer على النظام المستهدف.

  • القدرة على حذف الملفات يدوياً من النظام المستهدف (إذا تم رفع أي ملفات).

Previous🧹 مسح الآثار (Clearing Tracks)Next🧪 2. مسح آثار Linux ( Clearing Your Tracks On Linux Lab)

Last updated