العمليات والتقصيمتقدم30mL10
Pentester Toolkit — العدّة كلها (Red و Blue)
Kali و Burp و Wazuh و ELK — اللي بتشتغل بيه فعلاً
#Kali#Burp#Wazuh#ELK
قبل ما تفتح أي أداة
أي pentester بيفتح لاب جديد، أول 10 دقايق بيركّب نفس الـ stack. ليه؟
لأن الأدوات دي مش "اختيارات".
هي عضلات الذراع.
- طب يا حضرتك، ما أركّب Black Arch كله أحسن وأبقى مغطّي؟
كنت مستنيك تسأل السؤال ده يا مستجد. متوقّع كالعادة.
طب فيه ناس بتركّب 200 أداة وعمرها ما هتفتح نص الموجود. وفيه ناس عندها 8 أدوات بس ومخرّبة كل CTF. الفرق بينهم في السكة فين بالظبط؟
الفرق مش في العدد. اللي عنده 8 بيتقنهم. اللي عنده 200 بيستعرض. بس.
تشبيه — شرح مبسط
صندوق العدّة بتاع الميكانيكي القديم في الورشة — مش هتلاقي فيه 50 مفتاح. هتلاقي 8 أو 10 صدئت من كتر الشغل، عارف كل واحد فيهم بيعمل ايه، وعارف الـ trick بتاعته. الميكانيكي الجديد هو اللي كل أسبوع يشتري طقم جديد من الصين، ويرميه بعد شهر.
الـ toolkit بتاعك نفس الفكرة.
الـ toolkit بتاعك نفس الفكرة.
اعتراف شخصي
أنا فضّلت سنين بدور على "أحسن" أداة لكل خطوة. نسخة Burp جديدة، fork من sqlmap، wrapper لـ nmap، script على GitHub فيه 12 ستار.
اكتشفت إن المشكلة فيا. مش في الأدوات. الـ workflow بتاعي كان مهلهل، فبدّلت الأداة وأنا اللازم أبدّل الدماغ.
اكتشفت إن المشكلة فيا. مش في الأدوات. الـ workflow بتاعي كان مهلهل، فبدّلت الأداة وأنا اللازم أبدّل الدماغ.
غلطات الـ junior toolkit
- تركيب 200 أداة من Black Arch أو Kali full — 90% منها مش هتستخدمه، و10% هيتعارضوا مع بعض.
- مفيش tracking لإصدار كل أداة — Burp 2023.10 شغّال جنب Burp 2024.6 جنب OWASP ZAP، ومحدش عارف اللي بيعمل request.
- استخدام Kali default ISO على engagement حقيقي. الـ IP بتاعك معروف، الـ User-Agent بتاع كل أداة معروف، والـ EDR عند العميل بيقفلك في تالت دقيقة.
- الاعتماد على GUI tools في كل حاجة. الـ CLI أسرع وقابل للأتمتة، وانت في engagement فيه ضغط وقت.
- استخدام أدوات مكسورة من telegram channels — جايبلك payload جوّاها تخلّيك إنت الـ target مش الـ operator.
صندوق أدوات Red Team
اللي جاي مش "كل أدوات الـ red team". ده اللي هتشتغل بيه فعلاً في 95% من الـ engagements. لو لقيت أداة مش هنا، اسأل نفسك: محتاجها فعلاً ولا بتجمّع؟
استطلاع — Reconnaissance
- subfinder, amass, assetfinder, findomain
- httpx, naabu, dnsx, tlsx
- Shodan, Censys, FOFA, ZoomEye
- crt.sh, GoBuster, gau, waybackurls, katana
- trufflehog, gitleaks, GitHound
مسح — Scanning
- nmap + NSE, masscan, rustscan
- nuclei, nikto, OpenVAS, Nessus
- ffuf, feroxbuster, dirsearch
- whatweb, wappalyzer, retire.js
استغلال ويب
- Burp Suite Pro, Caido, OWASP ZAP
- sqlmap, NoSQLMap, dalfox, kxss
- wpscan, joomscan, droopescan
- XSStrike, commix, tplmap
استغلال شبكة و سيرفر
- Metasploit Framework, exploit-db
- CrackMapExec / NetExec, Impacket suite
- responder, mitm6, ntlmrelayx
- BloodHound, SharpHound, PowerView
- Mimikatz, Rubeus, Certify, Certipy
C2 و post-exploitation
- Cobalt Strike, Sliver, Mythic, Havoc
- Empire, Covenant, Brute Ratel
- Chisel, ligolo-ng, sshuttle, proxychains
- LinPEAS, WinPEAS, PEASS-ng, PrivescCheck
السحابة و الحاويات
- Pacu, CloudFox, ScoutSuite, Prowler
- enumerate-iam, weirdAAL, AWSGoat, CloudGoat
- peirates, kube-hunter, kubeletctl
- trivy, grype, dockle
- ROADtools, AADInternals, MicroBurst
صندوق أدوات Blue Team
الـ red team بيلعب بأدوات. الـ blue team بيشتغل بـ منصات. الفرق؟ الأداة بتفتحها وتقفلها. المنصة بتشتغل 24/7 وبتولّد alerts إنت لازم ترد عليها.
لو SOC analyst جديد، اعرف الـ stack بتاع شركتك الأول، وبعدين زوّد. مفيش لازمة تتعلم Splunk وانت في شركة شغّالة Sentinel.
SIEM / Log management
- Splunk, Microsoft Sentinel, Chronicle, QRadar
- ELK / OpenSearch, Wazuh, Graylog, Security Onion
EDR / Host
- CrowdStrike, SentinelOne, Defender for Endpoint
- Wazuh agent + Sysmon, osquery, Velociraptor
- Falco, Tracee (eBPF)
NDR / IDS
- Suricata, Snort, Zeek, Arkime (Moloch)
- RITA, JA3/JA4 fingerprinting
Threat Intelligence
- MISP, OpenCTI, TheHive + Cortex
- VirusTotal, ANY.RUN, Joe Sandbox, Hatching Triage
- CISA KEV, AlienVault OTX, Abuse.ch
Forensics / DFIR
- Volatility 3, Rekall, FTK Imager
- Autopsy, plaso/log2timeline, KAPE, UAC
- Chainsaw, Hayabusa, EVTX-ATTACK-SAMPLES
Hardening / Audit
- Lynis, OpenSCAP, CIS-CAT, kube-bench
- Wazuh SCA, Tenable Nessus / Qualys
- Wiz, Prisma Cloud, AWS Security Hub
Honeypots & Deception
- Canarytokens.org, Thinkst Canary
- cowrie, dionaea, t-pot
- honeyd, opencanary
Detection Content
- Sigma + sigmac/uncoder, Atomic Red Team
- Elastic detection-rules, Splunk security-content
- MITRE D3FEND, ATT&CK Navigator
سيناريوهات شغل حقيقية — الأدوات في سياقها
الـ tools list فوق ميتة من غير context. خليني أوريك إزاي بتشتغل في الـ workflow الحقيقي:
- External recon (يوم 1): subfinder + amass عشان الـ subdomains، dnsx للـ resolution، httpx للـ live hosts، nuclei templates للـ low-hanging fruit. كل ده pipe واحد، نتيجته ملف JSON بتدخّله الخطوة اللي بعديها.
- Web app testing (الأسبوع الأول): Burp Pro فاتح ع الـ workspace، ffuf شغّال في tab تاني للـ content discovery، sqlmap في tab تالت لو لقيت parameter مشكوك فيه. مش 4 أدوات ويب مع بعض — أداتين نظيفين بتشتغل بيهم بسرعة.
- AD pentest (داخل الشبكة): NetExec يعمل initial sweep، responder/mitm6 بيلتقط hashes في الخلفية، BloodHound بيرسم الـ graph، Certipy/Rubeus بيسحبوا التذاكر. الترتيب ده مش عشوائي — كل خطوة بتطعّم اللي بعدها.
- Blue side — alert triage: alert في Sentinel، بتفتح Velociraptor عشان timeline على الـ host، بتعدّي الـ hash على VirusTotal و ANY.RUN، بتلاقي C2 IP، بتدخّله TheHive كـ IOC. الأدوات بتاكل في بعض، مش جزر منفصلة.
- DFIR — incident حقيقي: KAPE بيشيل الـ artifacts من الـ host، plaso/log2timeline بيبني الـ super-timeline، Chainsaw بيسحب الـ Sigma matches من الـ EVTX، Volatility 3 بيقرا الـ memory dump. ده مش "أدوات" — ده pipeline.
أدوات مش محتاجها (وحد قالك العكس)
كل سنة بيظهر تنين أدوات جديدة في تويتر. كل واحد بيعمل thread "the only X you need in 2024". بعد سنة؟ ماحدش فاكر اسمها.
اللي بيستحمل هو اللي مش بيكسرك — مش اللي مكتوب عنه أكتر.
- كل wrapper جديد لـ nmap. nmap نفسه شغّال من 1997. الـ wrapper بتاعك بيضيف emoji في الـ output — وبس.
- الـ "all-in-one" frameworks اللي بتظهر فجأة على GitHub. 12 ستار، README فيه gif، وبعد 6 شهور الـ repo archived. ابعد.
- أدوات الـ telegram/discord الـ "leaked". دي مش أدوات، دي backdoors بتشتغل ضدك. اوعى تنزّل "Cobalt Strike cracked". أنا شفت ناس infected من اللعبة دي أكتر مما شفت ضحايا حقيقيين.
- الـ AI-powered scanners اللي بتعد لك الفلوس. 90% منها wrapper حوالين nuclei + GPT API. ادفع لـ nuclei مباشرة، ووفّر فلوسك.
- Kali tools اللي ما فتحتهاش من سنة. لو ما استخدمتهاش، احذفها. الـ disk بتاعك مش متحف.
آخرة الـ tool hype ايه؟
في tools كل سنتين بيتقال عنها "بتقتل EDR". في النص بتلاقي إنها كانت working على Windows 10 1909 وبس، أو كانت محتاجة admin من الأصل (يعني انت اتخرقت فعلاً)، أو الـ vendor عمل signature ليها في 3 أيام. الـ hype مش معيار. الـ track record هو المعيار.
مسارات تعلّم موصى بها
الأدوات من غير مسار = لعب. المسار من غير أدوات = فلسفة. الاتنين مع بعض = شغل.
- Web: PortSwigger Web Academy (مجاناً) — مفيش أحسن منه. لو خلّصته كله، انت فعلاً في top 10% web pentesters.
- Pentest: HackTheBox Academy, TryHackMe, OSCP. الـ OSCP مش "شهادة"، ده اختبار صبر.
- AD / Red Team: CRTO, CRTP, OSEP. لو شغلك federal/government، الـ AD knowledge مش رفاهية.
- Cloud: flaws.cloud, CloudGoat, AWSGoat, AzureGoat. ابدأ بـ flaws.cloud — مجاني وبيعلّمك إزاي تفكر cloud.
- Blue Team: BTL1/BTL2, SOC-200, SANS GIAC (GCIA, GCFA). لو هتشتغل SOC حقيقي، GCIA + GCFA كفاية لـ 5 سنين.
- DFIR: 13Cubed, DFIR.training, SANS FOR-508. 13Cubed مجاني وأحسن من كورسات بـ 5 آلاف دولار.
الخلاصة الناشفة
الـ toolkit مش معرض.
هو extension لطريقة تفكيرك.
لو دماغك مش منظّمة، 200 أداة هتزوّد العك. لو دماغك صافية، 8 أدوات تكفّيك تختم engagement كامل.
السيبر سباق ماراثون مش 100 متر. ساعة في اليوم — قراية + تطبيق فعلي على lab — وخلال سنة هتلاقي نفسك ضمن أحسن 5% في المجال.
اللي بيحرق المراحل بيقع في النص. واللي بيجمّع أدوات بدل ما يتقن، بيقع كمان.
هو extension لطريقة تفكيرك.
لو دماغك مش منظّمة، 200 أداة هتزوّد العك. لو دماغك صافية، 8 أدوات تكفّيك تختم engagement كامل.
السيبر سباق ماراثون مش 100 متر. ساعة في اليوم — قراية + تطبيق فعلي على lab — وخلال سنة هتلاقي نفسك ضمن أحسن 5% في المجال.
اللي بيحرق المراحل بيقع في النص. واللي بيجمّع أدوات بدل ما يتقن، بيقع كمان.