Forensic Analysis: Creating User GUI vs CLI

Hello,

This is my first forensic analysis post in English; as I’m sure you noticed by now that all of it is in Arabic; so excuse me for my bad English :)

The whole idea came out when @azeemnow asked the #DFIR community the following:
how can you tell the difference between a Windows account created from cmdline vs GUI interface?
Found here: URL

I tried to help by giving ideas, but it seems they didn’t help solve the case! So I said to myself why not replicate the process and do some checks!

Actions below done not in exact listed order (more later)!!!
1- Started a cmd.exe with Administration priveleges, and executed:
net user cmduser cmduser /add
2- From the Windows Control Panel and using the User Account applet, I added a user named guiuser.

Now; the first idea I had in mind is I thought that checking the system logs alone was enough to find clues about the exact location of execution & creation. I was wrong about that! Both log entries showed no difference at all except the username for sure :)
Continue reading

SMB Scanning بواسطة Metasploit

حين تم تطوير Metasploit كان الهدف هو خلق بيئة متكاملة للمهاجم لتنفيذ هجومه على الهدف … من بين تلك الأهداف هي عمل Modules متخصصة في جزئيات معينة تسهل عليك الوصول الى الضحية … وكذلك حسب كتاب Metasploit الأخير، يقولون ليس مُعيب ان تسلك أسهل وأسخف الطرق للوصول الى الضحية … والكلام سليم 100% … لماذا تستهلك وقتك وجهد كبير في البحث عن طرق صعبة بعض الشيء … أستعمل الطرق الأسهل للوصول الى الهدف … والهدف هو إختراق الضحية أليس كذلك؟ إذن دائماً برأيي تبدأ بالأسهل وتتدرج …

في مثالنا هنا والذي سنتحدث عن SMB Scanning، لماذا نقوم بعمل فحص لجميع الشبكة والأجهزة والخدمات لنعرف الاجهزة التي يعمل عليها بروتوكول Server Message Block ؟ خاصة إذا كانت هناك أداة تمكننا من عمل ذلك بشكل مباشر؟ الجواب ببساطة هو ضياع للوقت ليس إلا حسب رأيي … ولعمل فحص SMB كل الذي علينا فعله هو التالي:

msf > use scanner/smb/smb_version

الآن لنرى الخيارات المتوفرة:

msf  auxiliary(smb_version) > show options

Continue reading

Domain Controller Appliance من TurnKey

السلام عليكم ورحمة الله وبركاته

من فترة وانا اريد اشير الى هذه التوزيعة الجميلة التي إسمها Domain Controller Appliance والتي تقدمها شركة او مؤسسة TurnKey بالإضافة الى توزيعات أخرى جاهزة مجهزة للعمل …

هذه التوزيعة تستطيع إستعمالها كبديل للـ Active Directory فهي مجهزة بأغلب الأغراض الذي يقدمه لك الـ AD وتستطيع إستعمالها بشركتك لنفس الغرض … Continue reading

ASP.NET Debug Method Enabled

السلام عليكم ورحمة الله وبركاته

مشكلة أخرى ظهرت عندي عند عمل فحص على PCI Compliance وكانت بإنه الـ Debug مفعل في ملفات ASP.NET وهذه تكشف بعض المعلومات التي لا يفترض يتم كشفها إلا للأشخاص المصرح لهم بذلك authenticated users … ولهذا عليك بإيقاف ذلك أو عمل تعطيل لها من خلال التالي:

قم بفتح ملف Web.config بأي محرر مثل Notepad أو غيره … وبعد ذلك أبحث عن مكان وجود الخيار debug … ستجده يساوي true قم بتغييره الى false وخلاص أنتهى الأمر :)

مثال: Continue reading

HOWTO Install OCS Inventory NG Agents

السلام عليكم ورحمة الله وبركاته

الآن لنكمل باقي أجزاء OSSIM الذي تحدثت عنه هنا الآن لنقوم بتركيب OCS Inventory NG Agent على توزيعات جنو/لينوكس الموجودة عندك على الشبكة … بالبداية يجب توفر التالي:

- dmidecode version 2.0 or higher
- PERL 5.6 or higher
- Perl module XML::Simple version 2.12 or higher
- Perl module Compress::Zlib version 1.33 or higher
- Perl module Net::IP version 1.21 or higher
- Perl module LWP (سابقا يسمى libwww-perl) version 5.8 or higher
- Perl module Digest::MD5 version 2.33 or higher
- Perl module Net::SSLeay version 1.25 or higher
- ipdiscover version 3 or higher

أيضاً يجب أن تعرف على أي جهاز يعمل الخادم الرئيسي OCS Inventory NG Communication Server وعلى أي منفذ … طبعاً بالغالب إذا لم تقم بالتعديل على المنفذ سيكون الأساسي نفسه …

Continue reading

Pages: 1 2 Next