ماذا ستتعلم؟
ستتعرف على الأدوات الأساسية التي يستخدمها مختصو اختبار الاختراق حول العالم. من أهم هذه الأدوات Metasploit Framework، وهو إطار عمل قوي يسمح للمختبرين باختبار الثغرات واستغلالها .
إنشاء الملفات الخبيثة والتحكم بالأنظمة: في هذه المرحلة ستتعلم كيفية إنشاء ملفات اختبارية تُستخدم لمحاكاة الهجمات، مثل إنشاء حصان طروادة (Trojan) وملفات خبيثة مخفية. كما ستتعلم كيفية إنشاء Payload وهو الجزء البرمجي الذي يسمح بالحصول على اتصال مع الجهاز المستهدف.
استغلال الأنظمة باستخدام Metasploit : بعد إنشاء الـ Payloads ستتعلم كيفية استخدام Metasploit لاستغلال الأنظمة داخل المختبر. سترى بشكل عملي كيف يمكن استغلال نظام مثل Windows في بيئة اختبارية، وكيف يتم فتح اتصال يسمح بالتحكم في الجهاز المستهدف.
التحكم في الأنظمة باستخدام Meterpreter: بعد نجاح عملية الاستغلال سيتم فتح جلسة Meterpreter، وهي جلسة تحكم متقدمة تسمح بتنفيذ أوامر داخل النظام المستهدف. ستتعلم من خلالها كيفية: استعراض الملفات داخل النظام تنفيذ أوامر عن بعد جمع المعلومات من الجهاز
تسجيل ضغطات لوحة المفاتيح (Keylogger) : في هذا الجزء ستتعلم كيفية تنفيذ هجوم Keylogger الذي يقوم بتسجيل ضغطات لوحة المفاتيح. هذا يساعدك على فهم كيف يمكن للمهاجمين الحصول على كلمات المرور أو البيانات الحساسة من المستخدمين.
تصعيد الصلاحيات داخل النظام: غالبًا ما يبدأ المهاجم بصلاحيات محدودة داخل النظام، لذلك سيحاول الانتقال إلى صلاحيات أعلى. في هذا الجزء ستتعلم مفهوم Privilege Escalation وكيف يتم تصعيد الصلاحيات للوصول إلى مستوى تحكم أكبر داخل النظام.
تحليل وكسر كلمات المرور: ستتعلم كيفية تحليل كلمات المرور وفهم الأنماط الشائعة التي يستخدمها المستخدمون عند إنشاء كلمات السر. كما ستتعرف على كيفية إنشاء Wordlists واستخدام أدوات لتحليل قوة كلمات المرور وكسرها داخل بيئة الاختبار.
اكتشاف ثغرات قواعد البيانات قواعد البيانات تمثل هدفًا مهمًا في الهجمات الإلكترونية، لذلك ستتعلم كيفية اكتشاف الثغرات المرتبطة بها باستخدام أدوات متخصصة مثل SQLmap. ستتعرف أيضًا على أدوات أخرى لاختبار قواعد البيانات وتحليلها مثل JSQL و Sqlsus.
فحص المواقع وجمع المعلومات: في المرحلة الأخيرة ستتعلم كيفية فحص المواقع بحثًا عن نقاط الضعف باستخدام أدوات مثل Nikto و Skipfish. كما ستتعلم استخدام أداة CeWL لجمع الكلمات والمعلومات من المواقع، وهي خطوة مهمة في مرحلة جمع المعلومات (Reconnaissance).
عن هذا الفصل
🛡️ مسار الاختراق المتقدم (Advanced Penetration Testing)
يمثل هذا المسار المرحلة المتقدمة في تعلم الاختراق الأخلاقي، حيث تنتقل من فهم أساسيات الشبكات والهجمات الأولية إلى استخدام أدوات احترافية تُستعمل فعليًا في مجال اختبار الاختراق وتحليل الأنظمة.
في هذا المستوى ستتعلم كيف يتم استغلال الثغرات الأمنية والسيطرة على الأنظمة داخل بيئة اختبارية آمنة. الهدف من هذا المسار ليس فقط تنفيذ الهجمات، بل فهم طريقة عملها بعمق حتى تتمكن لاحقًا من اكتشافها ومنعها في الأنظمة الحقيقية.
خلال هذا المسار ستتعرف على أدوات قوية يستخدمها مختصو الأمن السيبراني حول العالم، مثل Metasploit Framework، وهو أحد أشهر الأطر البرمجية في مجال اختبار الاختراق. ستتعلم أيضًا كيفية إنشاء Payloads للتحكم في الأنظمة، وفتح جلسة Meterpreter التي تسمح بالتحكم الكامل في الجهاز المستهدف .
كما ستتعلم تنفيذ هجمات مثل Keylogger التي تسمح بتسجيل ضغطات لوحة المفاتيح، بالإضافة إلى فهم تقنيات تصعيد الصلاحيات داخل النظام للوصول إلى مستويات تحكم أعلى. كذلك ستتعلم كيفية تحليل كلمات المرور وكسرها باستخدام أدوات متخصصة، وفهم الطرق التي يستخدمها المهاجمون لاكتشاف نقاط الضعف في قواعد البيانات باستخدام أدوات مثل SQLmap.
🔹 استغلال الأنظمة باستخدام Metasploit
في هذا الجزء ستتعلم استخدام إطار العمل الشهير Metasploit Framework لتنفيذ هجمات اختراق داخل المختبر. ستفهم كيف يتم إنشاء ملفات خبيثة وإرسالها إلى النظام المستهدف، ثم استغلالها لفتح اتصال يسمح بالتحكم بالجهاز.
🔹 إنشاء Payloads والتحكم بالأنظمة
ستتعلم كيفية إنشاء Payloads، وهي ملفات أو تعليمات برمجية يتم استخدامها للحصول على وصول إلى النظام المستهدف. كما ستتعلم كيفية تشفير هذه الملفات لمحاولة تجاوز أنظمة الحماية.
🔹 جلسة Meterpreter والتحكم الكامل بالجهاز
بعد استغلال النظام ستتعلم كيفية فتح جلسة Meterpreter، والتي تسمح للمختبر بالتحكم في الجهاز المستهدف، مثل استعراض الملفات أو تنفيذ الأوامر داخل النظام.
🔹 تسجيل ضغطات لوحة المفاتيح (Keylogger)
في هذا الجزء ستتعلم كيفية تنفيذ هجوم Keylogger الذي يقوم بتسجيل ضغطات لوحة المفاتيح، مما يسمح بفهم كيفية سرقة كلمات المرور أو البيانات الحساسة.
🔹 تصعيد الصلاحيات داخل النظام
ستتعرف على تقنيات Privilege Escalation التي تسمح بالانتقال من حساب عادي إلى حساب يمتلك صلاحيات أعلى داخل النظام. هذه الخطوة تعد مهمة لأنها تمنح المهاجم سيطرة أكبر على الجهاز.
🔹 اكتشاف ثغرات قواعد البيانات
في هذا الجزء ستتعلم كيفية اكتشاف ثغرات قواعد البيانات باستخدام أدوات متخصصة مثل SQLmap، والتي تسمح باختبار المواقع واكتشاف الثغرات المرتبطة بحقن قواعد البيانات.
🔹 تحليل وكسر كلمات المرور
ستتعلم كيفية تحليل كلمات المرور وفهم الأنماط الشائعة التي يستخدمها المستخدمون، ثم استخدام أدوات متخصصة لمحاولة كسر هذه الكلمات في بيئة اختبارية.
النتيجة بعد إكمال المسار
بعد الانتهاء من هذا المسار ستكون قادرًا على فهم كيفية استغلال الثغرات الأمنية
داخل الأنظمة والتعامل مع أدوات اختبار الاختراق المتقدمة. كما ستتمكن من
تحليل كلمات المرور واكتشاف ثغرات قواعد البيانات وفحص المواقع بحثًا عن نقاط الضعف.
المتطلبات
ذاكرة RAM 8 جيجابايت كحد أدنى، يفضل 16 جيجابايت لتشغيل الأجهزة الافتراضية بسلاسة.
مساحة تخزين: حوالي 50–100 جيجابايت لتثبيت الأنظمة والأدوات.
معالج (CPU): رباعي النوى أو أفضل لتشغيل أكثر من آلة افتراضية في نفس الوقت.
اتصال بالإنترنت: لتحميل الأنظمة والأدوات وتحديثها عند الحاجة.
أساسيات الأمن السيبراني: معرفة عامة بمفاهيم مثل Packet Sniffing، Phishing، واختبار الاختراق الأخلاقي.
