1. الرئيسية
  2. المستقلين
  3. Ahmed H.
  4. معرض الأعمال

Ice Machine Penetration test

معرض الأعمال
اطلب عمل مماثل

تفاصيل العمل

Ice Machine Penetration test

تقرير اختبار الاختراق لجهاز ICE Machine

1. مقدمة

يهدف هذا التقرير إلى توثيق الخطوات التي تم اتخاذها خلال اختبار اختراق لجهاز يعمل بنظام Windows، حيث يغطي مراحل الفحص والاستغلال وترقية الامتيازات، لتقييم الوضع الأمني وتحديد المخاطر المحتملة.

2. مرحلة الفحص (Enumeration Phase)

تم استخدام أدوات مثل:

Nmap: لمسح المنافذ والخدمات.

Searchsploit: للبحث عن الثغرات المحتملة في الخدمات المكتشفة.

المنافذ والخدمات المستكشفة:

منفذ 445 (SMB - Microsoft-DS): مستهدف بسبب ثغرة EternalBlue (MS17-010).

منفذ 8000 (Icecast Server): مستهدف بسبب ثغرات تنفيذ الأوامر عن بُعد (RCE).

منفذ 5357 (HTTPAPI): تم اختباره ضد ثغرة MS15-034 (CVE-2015-1635).

3. مرحلة تحليل الثغرات

ثغرة SMB (MS17-010 - EternalBlue)

تم استخدام Metasploit لاستغلال EternalBlue والحصول على جلسة Meterpreter بامتيازات NT AUTHORITY/SYSTEM.

تم إنشاء مستخدم إداري جديد لضمان الاستمرارية.

تم استخراج بيانات الاعتماد المخزنة باستخدام وحدة Kiwi.

ثغرة Icecast (منفذ 8000)

تم العثور على ثغرة RCE في إصدار Icecast المستخدم.

تم تنفيذ الهجوم باستخدام Metasploit وتم الحصول على جلسة Meterpreter.

كان الحساب الذي تم اختراقه محدود الصلاحيات، لذلك تم تجاوز قيود UAC باستخدام وحدة BypassUAC.

تم انتحال رمز NT AUTHORITY\SYSTEM للحصول على الامتيازات الأعلى.

اختبار ثغرة MS15-034 (HTTP.sys RCE)

تم استخدام أوامر cURL لاختبار استغلال الثغرة عبر HTTP Range Header.

لم تكن الثغرة قابلة للاستغلال حيث أعاد الخادم خطأ 503 (Service Unavailable)، مما يشير إلى وجود تصحيحات أمنية أو قيود على الخدمة.

4. التوصيات الأمنية

للحماية من MS17-010 (EternalBlue - SMB)

تثبيت التحديثات الأمنية من Microsoft.

تعطيل بروتوكول SMBv1 باستخدام:

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

تقييد الوصول إلى SMB على الشبكات الموثوقة فقط.

للحماية من ثغرة Icecast

تحديث خادم Icecast إلى أحدث إصدار.

تقييد الوصول إلى الخدمة من عناوين IP موثوقة فقط.

مراقبة السجلات بحثًا عن نشاط مشبوه.

للحماية من MS15-034 (HTTP.sys RCE)

التأكد من تثبيت تصحيحات MS15-034.

تعطيل الخدمة إذا لم تكن مطلوبة عبر:

sc config HTTP start= disabled

استخدام جدار حماية تطبيقات الويب (WAF) لحظر الطلبات الضارة.

تحسين الأمان العام

تفعيل إدارة الامتيازات الأقل (Least Privilege Management) لتقليل المخاطر.

استخدام حلول EDR للكشف عن محاولات الاستغلال.

تنفيذ المراقبة والتدقيق الأمني المستمر لاكتشاف التهديدات المبكرة.

5. الخاتمة

تم اختراق الجهاز بالكامل باستخدام EternalBlue وIcecast RCE، مما يُبرز مخاطر تشغيل برمجيات غير محدثة.

لم تكن ثغرة MS15-034 قابلة للاستغلال، مما يشير إلى تحسن في تأمين الخدمة المستهدفة.

تنفيذ التوصيات المذكورة سيعزز الوضع الأمني للجهاز، مما يقلل من فرص الهجوم في المستقبل.

ملفات مرفقة

بطاقة العمل

اسم المستقل
Ahmed H.
عدد الإعجابات
0
عدد المشاهدات
1
تاريخ الإضافة