search

🧪 4. تعداد عمليات وخدمات Window Enumerating Windows Processes and Services)

🎯 الهدف الأساسي: بعد الحصول على وصول مبدئي إلى نظام Windows، جمع معلومات مفصلة عن العمليات الجارية (Processes) والخدمات (Services)، وذلك لتحديد عمليات مشبوهة أو فرص لرفع الامتيازات أو الحفاظ على الوصول.

🔧 الأدوات المستخدمة:

  • Nmap

  • Metasploit Framework (MSFConsole)

  • exploit/windows/http/rejetto_hfs_exec (Metasploit module)

  • Meterpreter commands: ps, pgrep [process name], migrate [PID], getuid, shell

  • Windows Command Shell commands: net start, wmic service list brief, tasklist /svc, schtasks /query /fo list

📜 خطوات التنفيذ:

📊 أولاً: الاستطلاع والفحص والاستغلال (Reconnaissance, Scanning & Exploitation) 🗣️ إذا كررت عملية الاستطلاع والفحص والاستغلال (Nmap، Metasploit، rejetto_hfs_exec) كما في اللابات السابقة.

  • فسوف تحصل على جلسة Meterpreter على النظام المستهدف.

📊 ثانياً: تعداد العمليات (Processes) باستخدام Meterpreter (Post-Exploitation - Local Enumeration) 🗣️ الآن بعد أن أصبحت لديك جلسة Meterpreter، يمكنك البدء في جمع معلومات حول العمليات الجارية.

  • إذا كتبت الأمر التالي في جلسة Meterpreter:

    ps

    فسوف يعرض لك قائمة بجميع العمليات النشطة على النظام المستهدف، بما في ذلك: معرف العملية (PID)، ومعرف العملية الأب (PPID)، واسم العملية، ومعمارية النظام، والجلسة، والمستخدم الذي يقوم بتشغيل العملية، ومسار العملية.

  • إذا كنت تبحث عن عملية معينة (مثل explorer.exe)، فعليك استخدام الأمر التالي:

    pgrep explorer.exe

    فسوف يعرض لك معرف العملية (PID) للعملية المطلوبة.

  • 💡إذا أردت الانتقال (migrate) بجلسة Meterpreter إلى عملية أخرى لزيادة الاستقرار أو رفع الامتيازات (بعد تحديد الـ PID لعملية مستقرة):

    migrate [PID] # مثال: migrate 2420

    فسوف تنتقل جلسة Meterpreter إلى هذه العملية، ويتم تغيير PID الخاص بالجلسة.

📊 ثالثاً: تعداد الخدمات (Services) والمهام المجدولة (Scheduled Tasks) باستخدام Command Shell (يدوياً):

  • إذا انتقلت إلى Command Shell:

  • للحصول على قائمة بجميع خدمات Windows التي تعمل حالياً:

    فسوف يعرض لك هذه القائمة.

  • للحصول على معلومات أكثر تفصيلاً عن الخدمات، بما في ذلك الـ PID واسم الخدمة وحالتها:

    فسوف يعرض لك جدولاً يلخص هذه المعلومات، وهو مفيد لتحديد الخدمات التي تعمل تلقائياً (Auto) أو يدوياً (Manual) وحالتها (Running/Stopped).

  • لتعداد المهام المجدولة (Scheduled Tasks) على النظام:

    فسوف يعرض لك قائمة بالمهام المجدولة التي ستعمل لاحقاً.

    • للحصول على معلومات إضافية (مثل البرامج المرتبطة)، أضف الخيار /v:

  • لتعداد العمليات والخدمات المرتبطة بكل مهمة مجدولة:

    فسوف يعرض لك قائمة بالمهام الجارية حالياً والخدمات المرتبطة بها.

نقاط التحقق:

  • الوصول إلى جلسة Meterpreter.

  • القدرة على تنفيذ ps وعرض العمليات.

  • القدرة على استخدام pgrep لتحديد PID لعملية معينة.

  • 🔑 نجاح migrate لعملية أخرى.

  • القدرة على الانتقال إلى Command Shell.

  • عرض مخرجات net start وwmic service list brief.

  • عرض المهام المجدولة باستخدام schtasks /query.

Previous🧪3. تعداد معلومات شبكة Windows (Enumerating Windows Network Information)Next🧪 5. أتمتة تعداد معلومات Windows المحلية Automating Windows Local Enumeration)

Last updated