Forensic Acquisitions over Netcat

In the past I used to write here what I did so I do not forget, so I’ll try to get back to that habit again :)

These days whenever I find time, I’m playing with TSURUGI, which is a new (at least to me) Linux DFIR distro. More about the distro could be found on the system’s website here. I highly recommend if you are reading these words of mine, that you go download TSURUGI and give it a try. It can be seen as the KALI Linux of DFIR!

Now, there is a project that I’m working on related to Linux, so I needed to acquire an image of a Linux system running on my testing system. So, I turned off the the system to be acquired and used the TSURUGI Linux to boot the system to be acquired. The problem in my setup, is I do not want to use a removable drive to acquire the image using TSURUGI and copy it to that target drive. Therefore, I had to go with other options, one was SSH. Doing acquisitions over SSH will be a great option, but unfortunately, in my situation, it did not work. I have not troubleshooted the reason why, since I’m not into that now, but I assume SSH did not work and every time I tried to connect to the running SSH, it just gave me a reset, because it was running in Read-Only mode from the RAM and therefore SSH sessions could not be created! (not 100% sure, just an assumption).
Continue reading

إستعمال شبكة Tor لأكثر من مجرد تصفح

الكثير منا يستعمل شبكة Tor وذلك لكي يتصفح بنوع من أنواع التخفي والسرية Anonymity … لكن ماذا لو كنت تريد مثلاً أن تقوم بتحميل ملف ما بدون أن يعلم صاحب الخادم الذي تحمل منه الملف رقم الأي بي الحقيقي لك؟

الجواب للتصفح هو Tor وللتحميل أيضاً نستطيع إستعمال أحدى الأدوات التي تأتي مع Tor والتي هي usewithtor …

مثلا لتحميل ملف معيين، كل الذي علينا القيام به هو:

$ usewithtor wget www.binary-zone.com/somefile.iso

هكذا أستعملنا wget من خلال شبكة tor لتحميل الملف somefile.iso …

لكن … هناك امر لازال مكشوف لصاحب الخادم! وهو السجل Log كهذا:

www.binary-zone.com 212.xxx.xxx.106 - - [28/Nov/2011:16:15:25 +0200] "GET /somefile.iso HTTP/1.1" 301 20 "-" "Wget/1.12 (linux-gnu)"

ما تم تسجيله في سجلات الخادم (مثلا اباتشي) هو نوع نظامك المستعمل ونوع المتصفح … هذه كشفتها أو تم التعرف عليها من خلال الـ HTTP Headers …
Continue reading

Local and Remote Port Forwarding using SSH

حين نقول عملية Port forwarding أو Tunneling فإننا نقوم بعملية تمرير للحزم أو الـ traffic من خلال ممر أو نفق غير الممر أو المسار الذي تسلكه هذه الحزم بالوضع الإعتيادي أو بطريقة عملها الإعتيادية … وحين نذكر بإننا سنستخدم SSH مثلا في عملية التمرير … فهذا يعني إننا سنقوم بتمرير الحزم أو الـ traffic من خلال نفق نعمله بواسطة خدمة الـ SSH المُشفرة … وبالتالي ممكن نستفيد من عملية التمرير هذه لعدة أمور:
1- تغليف سير بيانات خدمة غير آمنة بواسطة نفق آمن …
2- إخفاء سير بيانات معينة حين تمر بداخل الشبكة سواء الداخلية او الخارجية …
3- الإستفادة منها في طريقة التحايل وتجاوز الجدران النارية … أي الوصول الى خدمة لا تستطيع الوصول أليها بشكل مباشر بسبب الجدران النارية …

الآن هناك نوعان من الـ Port Forwarding:

الأول: Local Port Forwarding أو في SSH ستجدها مرات بإسم LocalForwards
وهي أن تقوم بعملية تمرير الحزم المتجهة الى منفذ محلي Local Port الى منفذ على خادم عن بُعد Remote Port من خلال خادم الـ SSH … مثال على ذلك: لنفرض في المنزل نريد نرسل رسالة من خلال برنامج Thunderbird الى صديق لنا بإستعمال بريدنا مثلا الذي على الياهو … في الكثير من الأحيان ستجد إن شركات خدمة الأنترنت (ISP) تكون قد حجبت المنفذ 25 من المستخدم المنزلي بسبب مشاكل السبام … ولهذا لنتجاوز هذه المشكلة يمكننا عمل نفق بين جهازنا الذي في البيت وخادم موجود على الأنترنت مثلاً لنستعمله لتمرير جميع الحزم الواصلة الى المنفذ 12345 على جهازنا الى المنفذ رقم 23 على الخادم yahoo.com من خلال ممر الـ SSH الذي نعمله بيننا وبين الخادم example.com الذي لدينا صلاحيات دخول SSH عليه …
Continue reading

Bypass Company Firewall using HTTP Tunnels

السلام عليكم ورحمة الله وبركاته

بعض الأحيان في العمل تجد مدير الشبكة قد قام بغلق أغلب المنافذ، والكثير من المواقع محجوبة، وبالتالي سيعقد حياتك ومشاغلك الإنترنتية … كما كنت اعمل بالشبكة في عملي السابق ::18 طيب ما العمل هل نقول له خلاص أنتصرت وأنا أستسلم؟ ولا أستطيع عمل سوى ما تسمح لنا به؟
الجواب: لا ومليون لا …

ولهذا جاء موضوعي لهذا اليوم وذلك لحل هذه المشكلة ولتجتاوز هذه الحواجز التي وضعها لنا هذا الأدمن :) ولكي نثبت له ولغيره بإننا قادرين على تجاوز وقفز جميع الحواجز … Bypassing قوانينكم ومحدداتكم مستمرة … واليوم نتجاوزها بطريقة غير التي شرحتها في المرات السابقة … اليوم نشرحها بإستخدام برنامج httptunnel …

في أي مؤسسة أو شركة أو دائرة حكومية، ربما المنافذ المفتوحة لك هي فقط 80 و 443 والذي هم لـ HTTP و HTTPS على التوالي … وهذه المنافذ هي التي سنستغلها في تمرير بياناتنا الى المواقع أو الخدمات التي نحتاجها في الخارج والتي يمنعها علينا مدير الشبكة … هذه المنافذ من الصعب غلقها ومن الصعب جداً فلترتها ولهذا هي بيئة خصبة وسهلة لما يسمى بـ HTTP Tunneling … Continue reading

تقريباً Invisible SSH Connection

السلام عليكم ورحمة الله وبركاته

في آخر مواضيعي ذكرت بإنه من الآن فصاعداً ستكون أغلب إن لم تكن جميع مواضيعي هي حول الـ Penetration Testing والجدران النارية والتلاعب ببعض البروتوكولات ومن هذه الأمور التي مجال الأمنية وبصراحة تخص مجال بحثي وعملي حالياً … ولهذا اليوم أحببت أن يكون من أوائل هذه المواضيع حول كيفية الدخول الى السيرفر وبشكل متخفي حتى على المستخدم root على الخادم::18

ملاحظة: سيكون المستخدم مخفي عن root في اغلب الأدوات الإعتيادية مثل top و w وغيرها من الأدوات البسيطة … لكن لو الأدمن شاطر ؟ ربما من خلال بعض الـ Diagnostic يستطيع أن يكشف تواجدك !!!
Continue reading