كل عام وانتم بخير . ان شاء الله تكونوا بخير وصحة وسلامة نبدا ندخل في موضوعنا .المـقدمـة :
في البداية طبعا لابد ان نفهم ما خطورة هذه الثغرات وما عملها ؟
هذه الثغرة من الثغرات العالية الخطورة حيث تمكن المخترق بان يستخدم صلاحيات الجذر لتنفيذ اي برنامج خبيث داخل السيرفر
** في هذا الموضوع سوف اشرح طريقة من طرق اكتشاف هذه الثغرة **
كيف يتم استغلالها :
يتم استغلال
هذا النوع من الثغرات اما ان تكون هناك ثغرة في النظام نفسه او ان يكون
هناك برنامج مصاب يعمل كخدمة ( service ) تعمل عند بداية الجهاز او السيرفر
الادوات :
* برنامج procexp
الشرح على برنامج مصاب :
البرنامج المصاب : Epson Status Monitor
حسنا لنقوم بتثبيت البرنامج على الجهاز الخاص بنا ونقوم بفتح
برنامج procexp حسنا الان لننظر الى الملف الذي يعمل للبرنامج في الخدمات
الاساسية للنظام
حسنا ها هو اسم الخدمة : EPSON_EB_RPCV4_01
حسنا سوف نقوم بتنفيذ الامر :
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
sc qc [service name]
هذا الامر يقوم بالكشف عن مسار الملف الذي يعمل كخدمة اساسية للنظام
سيكون امرنا النهائي هكذا
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
sc qc EPSON_EB_RPCV4_01
سيظهر لنا الاتي
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط][SC] QueryServiceConfig SUCCESS
SERVICE_NAME: EPSON_EB_RPCV4_01
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : EPSON V5 Service4(01)
DEPENDENCIES : RpcSs
SERVICE_START_NAME : LocalSystem
حسنا مسار الملف الذي يعمل كخدمة ها هو :
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE
الان لنقوم بالكشف عن صلاحيات هذا الملف عن طريق الامر
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
cacls "file path"
سيكون الامر النهائي هكذا
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]cacls "C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE"
انظر الان الى الخطا الفادح انظر الى صلاحيات الملف
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE
Everyone:F
كما شاهدت ان صلاحياته
Everyone:F
حيث ان F تعني Full Control اذن هنا الخطا الفادخ والثغرة
حسنا الان ماذا لو قمنا بتبديل الملف هذا
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE
بملف خبيث ؟؟ ( بنفس الاسم طبعا )
هذا مثال لبرنامج غير مصاب وهو Eset Smart Security
لنرى ملف البرنامج الذي يعمل كخدمة في النظام : ekrn.exe
لنكشف عن صلاحياته
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]cacls "C:\Program Files\ESET\ESET Smart Security\ekrn.exe"
C:\Program Files\ESET\ESET Smart Security\ekrn.exe BUILTIN\Users:R
BUILTIN\Administrators:F
NT AUTHORITY\SYSTEM:F
اكيد فهمت الان الفكرة الان في هذا
برنامج eset الغير مصاب وجدنا ان صلاحيات ال user العادي فقط القرائة وليس
هو الحال ك Administrator :F
ان شاء الله اكون وفقت في الشرح .
------------------
الثغرة موجودة في Milw0rm