Mestercoputer

تجربه شخصی خودمو از یک مکان امنیتی و نظامی رو تصمیم گرفتم اینجا به صورت مقاله بزارم فقط چون نمی تونم اسم ببرم مجبورم به صورت سانسور شده و داستانی بگم ولی واقعا اتفاق افتاده اما با مجوز! برای کشف باگشون 

بریم سراغ داستان : 

تصور کن یه شرکت پنج‌طبقه تو یه محله شیک تو بالاشهر تهران، با ۳۰ کارمند که انگار همه‌شون متخصص امنیت سایبرین. شبکه‌شون کاملاً ایزوله‌ست، یعنی هیچ اتصالی به اینترنت نداره. وای‌فای شرکت به کافه طبقه همکف نمی‌رسه و کارمندا با VPN داخلی و احراز هویت دو مرحله‌ای (2FA) به سیستم‌ها وصل می‌شن. دسترسی فیزیکی به اتاق سرور یا تجهیزات شبکه؟ اصلاً فکرشو نکن! کافه یه وای‌فای رایگان داره، ولی این به شبکه شرکت ربطی نداره. تو یه هکر کلاه سیاه حرفه‌ای هستی و باید فقط از توی کافه، بدون جا گذاشتن هیچ قطعه‌ای و فقط با تکنیک‌های هک شبکه و اکسپلویت، به شبکه داخلی نفوذ کنی. هیچ مهندسی اجتماعی، فقط هک خالص! بیا این شبکه رو باز کنیم! 😏

هکر همیشه راهی پیدا می‌کنه ! اینو یادت باشه! 

گام اول: شناسایی شبکه کافه،

 نقطه شروع تکنیکالچون شبکه شرکت به اینترنت وصل نیست، نمی‌تونی از ابزارهای OSINT مثل Shodan استفاده کنی. پس همه‌چیز از کافه شروع می‌شه. می‌ری تو کافه، یه قهوه می‌گیری، لپ‌تاپتو باز می‌کنی و وصل می‌شی به وای‌فای کافه.

 حالا باید ببینی آیا راهی از شبکه کافه به شبکه داخلی شرکت وجود داره یا نه.

با ابزارهایی مثل nmap شروع می‌کنی و شبکه کافه رو اسکن می‌کنی تا دستگاه‌های متصل رو پیدا کنی.

 چون شبکه شرکت ایزوله‌ست، احتمالاً وای‌فای کافه به یه سوئیچ یا روتر وصل شده که ممکنه به شبکه داخلی شرکت هم لینک داشته باشه.

 مثلاً خیلی از شرکت‌ها برای صرفه‌جویی، کافه و شبکه داخلی‌شون رو به یه زیرساخت کابلی مشترک وصل می‌کنن.

نکته شبکه‌های آفلاین، سوئیچ‌ها یا روترهایی که بین بخش‌های مختلف (مثل کافه و شرکت) مشترکن، اغلب نقطه ضعف اصلی‌ان. اگه VLANها درست پیکربندی نشده باشن، می‌تونی از شبکه کافه به شبکه داخلی پرش کنی

با nmap یه اسکن کامل از subnet وای‌فای کافه انجام می‌دی (مثل 192.168.1.0/24). فرض کن یه دستگاه با IP مثل 192.168.1.100 پیدا می‌کنی که پورت‌های باز داره، مثلاً پورت 9100 (برای پرینتر) یا 80 (برای یه وب‌سرور داخلی). با یه اسکریپت ساده nmap (--script discovery) می‌فهمی این یه پرینتر شبکه‌ای HP JetDirectه که به شبکه داخلی وصله. حالا یه سرنخ داری!

گام دوم: اکسپلویت دستگاه‌های متصل، دروازه ورود

حالا که یه پرینتر شبکه‌ای پیدا کردی، وقتشه دست به کار بشی. پرینترهای شبکه‌ای اغلب آسیب‌پذیری‌های شناخته‌شده‌ای دارن، مخصوصاً اگه فریم‌ورشون آپدیت نشده باشه. مثلاً فرض کن پرینتر HP داره از یه نسخه قدیمی فریم‌ور استفاده می‌کنه که باگ CVE-2017-2750 رو داره.

با ابزار Metasploit یه ماژول اکسپلویت برای این باگ لود می‌کنی (مثل auxiliary/admin/printer/hp_jetdirect). این اکسپلویت بهت یه شل (Shell) روی پرینتر می‌ده. چون پرینتر به شبکه داخلی وصله، حالا یه نقطه ورود به شبکه شرکت داری.

نکته ای که هست پرینترهای شبکه‌ای و دستگاه‌های IoT مثل دوربین‌های مداربسته تو شبکه‌های آفلاین اغلب ناامنن، چون ادمین‌ها فکر می‌کنن اینا هدف هک نیستن. تو سال 2019، یه گزارش نشون داد که 60٪ پرینترهای شبکه‌ای هنوز از پروتکل‌های قدیمی مثل SNMPv1 استفاده می‌کنن که رمز پیش‌فرضشون عوض نشده.

با ابزار Impacket، یه حمله SMB Relay راه می‌ندازی. این تکنیک بهت اجازه می‌ده هَش‌های NTLMv2 هر کارمندی که به سرور فایل وصل می‌شه رو بقاپی. چون شبکه آفلاینه، نمی‌تونی هَش‌ها رو آنلاین کرک کنی، ولی یه دیتابیس آفلاین از رمزهای رایج (مثل Rainbow Tables) همراهت داری که با Hashcat روی لپ‌تاپت اجرا می‌کنی. اگه یه هَش ضعیف گیرت بیاد، یه اعتبارنامه داری!

گام چهارم: تحلیل ترافیک داخلی

حالا که تو شبکه داخلی هستی، وقتشه ترافیک شبکه رو تحلیل کنی. چون شبکه آفلاینه، نمی‌تونی داده‌ها رو به خارج بفرستی، پس همه‌چیز رو همون‌جا با لپ‌تاپت پردازش می‌کنی. با Wireshark یا tcpdump، بسته‌های داده رو مانیتور می‌کنی. چون ترافیک رمزنگاری‌شده‌ست، نمی‌تونی مستقیم بخونیش، ولی می‌تونی دنبال پیکربندی‌های نادرست بگردی، مثل یه سرور که از TLS 1.0 استفاده می‌کنه یا یه پروتکل SMBv1 که هنوز فعاله.

گرفتی چی شد 🤣حتی تو شبکه‌های آفلاین، سرورهای داخلی مثل فایل‌سرورها یا سرورهای احراز هویت اغلب پچ‌نشده‌ان. مثلاً یه سرور ویندوز با آسیب‌پذیری EternalBlue (MS17-010) می‌تونه راه ورودت به سیستم‌های حساس‌تر باشه.

یه سرور بکاپ پیدا می‌کنی که پورت 445 باز داره و از SMBv1 استفاده می‌کنه. با یه اکسپلویت مثل EternalBlue (موجود تو Metasploit)، یه شل روی سرور می‌گیری. حالا با دسترسی به این سرور، می‌تونی فایل‌های حساس یا حتی توکن‌های احراز هویت رو بقاپی. برای اینکه بی‌ردپا بمونی، همه دستوراتت رو با پروکسی‌های داخلی (مثل SOCKS Proxy تو Metasploit) اجرا می‌کنی تا هیچ رد مستقیمی به لپ‌تاپت نرسه.

گام پنجم: شکار اعتبارنامه‌ها

با دسترسی به سرور بکاپ، وقتشه اعتبارنامه‌ها رو شکار کنی. چون نمی‌خوای هیچ هشداری فعال کنی، از تکنیک‌های Living-off-the-Land استفاده می‌کنی. مثلاً با یه اسکریپت PowerShell، توکن‌های جلسه (Session Tokens) رو از حافظه سرور می‌قاپی. این توکن‌ها بهت اجازه می‌دن بدون نیاز به رمز، به حساب‌های ادمین دسترسی پیدا کنی.

راستی اینو بگم واقعا نکته هست ! تو شبکه‌های آفلاین، توکن‌های جلسه که تو حافظه سرورها می‌مونن، یه هدف عالی‌ان. این توکن‌ها مثل یه کلید جادویی‌ان که می‌تونن درهای زیادی رو باز کنن.

اینو کوچیک نکردم خیلی مهم بود ! اصل داستانه همین اونایی که باید بگیرن گرفتن . 

با تکنیک Pass-the-Token، از توکن یه حساب ادمین برای حرکت جانبی (Lateral Movement) به یه سرور احراز هویت استفاده می‌کنی. مثلاً یه سرور Active Directory پیدا می‌کنی که همه کارمندا بهش وصلن. با Mimikatz (اجرا‌شده از طریق PowerShell)، همه توکن‌های موجود رو جمع می‌کنی و به یه حساب ادمین سطح بالا می‌رسی. حالا انگار کل شبکه تو دستته!

گام ششم: تثبیت دسترسی و خروج

حالا که شبکه رو فتح کردی، وقتشه دسترسی‌تو تثبیت کنی. یه حساب کاربری مخفی تو Active Directory درست می‌کنی که هیچ‌کس نفهمه مال توئه. برای اینکه بی‌ردپا بمونی، هیچ فایلی روی سرورها ذخیره نمی‌کنی و همه دستوراتت رو تو حافظه اجرا می‌کنی (In-Memory Execution).

( تو شبکه‌های آفلاین، پاکسازی لاگ‌ها حیاتیه، چون ادمین‌ها ممکنه دستی لاگ‌ها رو چک کنن. یه هکر حرفه‌ای از اسکریپت‌های PowerShell برای پاک کردن لاگ‌های خاص مثل Event IDهای مربوط به لاگین استفاده می‌کنه.)

یه اسکریپت PowerShell می‌نویسی که لاگ‌های مربوط به فعالیت‌هاتو پاک کنه و حساب مخفی‌تو غیرفعال کنه. برای خروج، تونل شبکه‌ای که از پرینتر ساخته بودی رو می‌بندی و همه اتصالاتت رو قطع می‌کنی. چون هیچ قطعه‌ای جا نذاشتی، هیچ اثری ازت نمی‌مونه. برای احتیاط، یه پیام جعلی تو پرینتر log می‌کنی که انگار یه خطای ساده بوده: "Printer reboot due to network error." این‌جوری اگه ادمین‌ها چیزی چک کنن، فکر می‌کنن مشکل از پرینتر بوده.