احسان امجدی
کارشناس امنیت اطلاعات و ارتباطات

آموزش ماژول بازیابی فایل حذف شدن در سیستم قربانی در تست نفوذ

همانطور که از اسم این بخش پیداست میخواهیم کمی در سیستم هدف شیطنتمان را بیشتر کرده و با گسترش کارمان اقدام به بازیابی فایل های پاک شده در سیستم قربانی کنیم. نسبت به قسمت های پیشین از آموزش کالی، مطالب این بخش کمی پیشرفته تر خواهد بود. مشاهده کنید که چگونه از یکی از ماژول های موجود در Meterpreter برای بازیابی فایل های پاک شده در سیستم هدف استفاده خواهیم کرد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

بازیابی فایل های پاک شده در سیستم قربانی

اسکریپت "recovery_files" به شما این امکان را میدهد تا فایل هایی را بازیابی کنید که کاربر موجود بر روی سیستم هدف آن ها را با علم به پاک شدن، از بین برده است. این کار فقط جنبه تفریح ندارد. بلکه فایل های پاک شده ممکن است شامل اطلاعاتی باشد که آن را برای هکر و یا انجام دهنده تست نفوذ حائز اهمیت کند.فایل های سیستمی و لاگ ها، اطلاعات اکانت و پوشه های مهم تنها نمونه کوچکی از آن چیزی است که ممکن است بازیابی شوند. جهت طرح یک مثال و آماده سازی برای آن، بر روی ویندوز 7 یک فایل تستی با نام "Accounts Passwords.txt" میسازیم و یک کپی از فایل "nmap discovery.pdf" را بر روی درایو E قرار میدهیم؛ سپس این فایل ها را پاک میکنیم:

 

 

کار کردن با ماژول ها در سیستم تحت نفوذ – بازیابی فایل های پاک شده در سیستم قربانی

 

 

استفاده از ماژول

استفاده از ماژول نیازمند این است که شما حداقل یک session باز به سیستم هدف داشته باشید. هنگامی که توانستید یک ریموت session را با موفقیت برقرار کنید، عبارت "background" را تایپ کنید تا بطور موقت session را به محیط msf prompt برگردانید و آنگاه مطابق شکل زیر از ماژول استفاده کنید:

 

 

کار کردن با ماژول ها در سیستم تحت نفوذ – بازیابی فایل های پاک شده در سیستم قربانی

 

 

همانطور که در شکل بالا مشاهده میکنید، دو پارامتر وجود دارد که باید تنظیم شوند. برای دیدن فایل های موجود در درایو E باید دو گزینه "Drive" و "Session" مطابق شکل بالا تنظیم شوند؛ سپس وقت آن است که Exploit را اجرا کنیم:

 

 

کار کردن با ماژول ها در سیستم تحت نفوذ – بازیابی فایل های پاک شده در سیستم قربانی

 

 

Exploit اجرا میشود و چهار فایل را در عملیات بازیابی خودش پیدا میکند؛ دو تای آن ها همان فایل هایی است که ما برای انجان تست پاک کردیم. حالا اگر بخواهیم فایل "txt" را بازگردانیم، باید تایپ کنیم "set FILES txt" و مجددا Exploit را اجرا کنیم:

 

 

کار کردن با ماژول ها در سیستم تحت نفوذ – بازیابی فایل های پاک شده در سیستم قربانی

 

 

فایل "txt" بازیابی میشود و در دایرکتوری root//.msf4//loot// از سیستم کالی ذخیره میشود. با جستجو در دایرکتوری گفته شده میتوانید فایل را پیدا کرده و باز کنید:

 

 

کار کردن با ماژول ها در سیستم تحت نفوذ – بازیابی فایل های پاک شده در سیستم قربانی

 

 

و فایل را مشاهده کنید:

 

 

کار کردن با ماژول ها در سیستم تحت نفوذ – بازیابی فایل های پاک شده در سیستم قربانی

 

 

در این فایل سه یوزر اکانت با پسوردهایشان موجود هستند که ما توانستیم آن ها را از سیستم هدف بازیابی کنیم. اما اگر بخواهیم فایل "pdf" را بازیابی کنیم چکاری باید انجام شود؟ خیلی ساده همان کارهای قبلی را انجام میدهیم؛ فرمان "set FILES pdf" را تایپ کرده و مجددا Exploit را اجرا میکنیم:

 

 

کار کردن با ماژول ها در سیستم تحت نفوذ – بازیابی فایل های پاک شده در سیستم قربانی

 

 

و در آخر نیز فایل در همان دایرکتوری loot که گفته شد، ذخیره میگردد.میتوانیم فایل "pdf" را باز کرده و صحت آن را تائید کنیم:

 

 

کار کردن با ماژول ها در سیستم تحت نفوذ – بازیابی فایل های پاک شده در سیستم قربانی

 

 

میتوانیم ماژول را طوری تنظیم کنیم که چندین فرمت فایل را در یکبار اجرای فرمان برگرداند به نحوی که در فرمان صادر شده بعد از عبارت FILES متغیرها را را با یک کاما بینشان میآوریم؛

 "set FILES txt,pdf,doc"

فایل ها بر حسب شماره ID شان نیز میتوانند بازیابی شوند.

مروری بر ماژول ریکاوری فایل

این ماژول در ظاهر بر روی درایوها خوب کار میکند اما در مورد درایوهایی که در آن ها تعداد بسیار زیادی فایل برای بازیابی وجود دارد، چندان خوب کار نمیکند. بطور مثال در درایو سیستم عامل. در مورد چنین درایوهایی ممکن است عملیات ریکاوری چندین ساعت بطول بیانجامد و نتیجه شامل هزاران فایل پیدا شده باشد. شکل زیر تصویری از ریکاوری فایل بر روی درایوی است که شامل تعداد زیادی فایل پاک شده است. همانطور که میبینید این عمل باعث ایجاد ترافیک غیرمعمول در شبکه نیز میشود:

 

 

کار کردن با ماژول ها در سیستم تحت نفوذ – بازیابی فایل های پاک شده در سیستم قربانی

 

 

همانطور که میبینید با تعداد زیادی فایل ریکاوری شده روبرو هستیم که در دنیای واقعی کمتر کسی پیدا میشود که این حجم اطلاعات را آنالیز کند. این ماژول عملا در مورد درایوهایی با حجم داده کم کاربرد دارد و در ابعاد وسیع اجرایی نیست.

سربلند و مانا باشید.

پایان

نویسنده: احسان امجدی

منبع: انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد


احسان امجدی
احسان امجدی

کارشناس امنیت اطلاعات و ارتباطات

احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...

نظرات