🛠️ Linux User Management

🔍 وحدة أساسية للمهاجمين (Red Teamers) لفهم صلاحيات الأنظمة، التحكم في الامتيازات، واكتشاف نقاط الضعف المتعلقة بالمستخدمين

1️⃣ Users and Groups – المستخدمين والمجموعات

📌 تعريف بسيط:

• أي نظام تشغيل بيقسم الأشخاص (أو الخدمات) إلى Users وGroups
• كل مستخدم له صلاحيات، كل جروب له صلاحيات، والصلاحيات دي هي اللي بتحدد تقدر تعمل إيه ومين يقدر يشوف إيه.

✅ أمور أساسية:

العنصر الوصف User (UID) كل مستخدم له رقم تعريفي (User ID) خاص به Group (GID) كل مجموعة لها رقم تعريفي (Group ID) Home Directory لكل مستخدم مجلد شخصي /home/username System Users مستخدمين غير بشريين (مثل daemon, www-data) لتشغيل خدمات

🎯 كمهاجم Red Team، معرفة المستخدمين والمجموعات بتساعدك:

• في تجميع الـ Privilege Escalation Vectors
• في تحديد المستخدمين المهمين
• في اختراق ملفات أو خدمات مربوطة بمجموعة معينة

2️⃣ Superuser – Root Access

🔐 root هو المستخدم الأعلى صلاحية في النظام، UID = 0

يقدر يعمل أي شيء:

• يشوف أي ملف
• يقتل أي عملية
• يعدّل في أي نظام

🛡️ لكن! التعامل مع root خطر:

تشغيل النظام بـ root دايمًا = مخاطرة (ممكن تمسح ملفات النظام بالغلط)

✨ البدائل:

الأمر الوظيفة sudo تنفيذ أمر واحد بصلاحيات root su فتح shell جديد كمستخدم آخر (افتراضيًا root)

sudo cat /etc/shadow
su

🧠 مين يقدر يستخدم sudo؟

↪️ النظام بيحدده في ملف:

/etc/sudoers

📌 لا تعدّل الملف ده يدويًا، استخدم:

visudo 
# or 
nano 

🎯 كمهاجم، لو لقيت اسمك ضمن الـ sudoers – أنت تقدر تعمل Privilege Escalation بسهولة جدًا.

3️⃣ /etc/passwd – قاعدة بيانات المستخدمين

🧾 محتويات الملف:

cat /etc/passwd

كل سطر يمثل مستخدم:

username:password:UID:GID:GECOS:home:shell

👀 مثال:

root:x:0:0:root:/root:/bin/bash

الحقل الوصف username اسم المستخدم password غالبًا يكون x → يعني الباسوورد محفوظ في /etc/shadow UID رقم تعريف المستخدم GID رقم تعريف المجموعة الأساسية GECOS بيانات وصفية (مثل الاسم الحقيقي) home directory مجلد المستخدم shell الشل الافتراضية (bash غالبًا)

📌 مش كل المستخدمين في /etc/passwd بشريين – فيه مستخدمين للنظام نفسه.

🎯 كمهاجم:

• راقب حسابات لها UID = 0 غير root ← حسابات root مخفية
• لو لقيت shell غريبة زي /bin/false ← ده حساب غير قابل لتسجيل الدخول

4️⃣ /etc/shadow – ملف كلمات المرور

🔒 بيحتوي على كلمات المرور (مشفرة) لكل مستخدم، وبيحتاج صلاحيات root علشان تشوفه:

sudo cat /etc/shadow

👀 مثال سطر:

root:$6$Nhf...:19222:0:99999:7:::

الحقل المعنى اسم المستخدم root كلمة المرور المشفرة (Hash) يبدأ بـ $1, $6 ← نوع التشفير تاريخ آخر تغيير أيام من 1-1-1970 الحد الأدنى لتغيير كلمة المرور عدد الأيام الحد الأقصى لتغيير كلمة المرور عدد الأيام مدة التحذير قبل انتهاء الباسوورد أيام فترة السماح بعد الانتهاء أيام تاريخ انتهاء الحساب رقم حقل محجوز مستقبلًا

🎯 كمهاجم:

• ممكن تستخرج الـ hash وتعمل له brute-force

💡$5$ is (SHA-256) $6$ is (SHA-512) $y$ (or $7$) is yescrypt.

• لو لقيت hash لباسوورد ضعيف، ده مدخل واضح للتصعيد

Cracking with John the Ripper

🔹 Use unshadow to combine passwd and shadow:

unshadow passwd shadow > full_hashes.txt

🔹 Crack it:

john full_hashes.txt --wordlist=/path/to/wordlist.txt

• Use rockyou.txt as a common wordlist: /usr/share/wordlists/rockyou.txt
• to extract the rockyou.txt.gz ⇒ gzip -dk /usr/share/wordlists/rockyou.txt.gz
• You can also generate custom wordlists with cewl, crunch, or manually.

🔹 $y$ (yescrypt) hash

john --format=crypt hashes.txt

🔹 See cracked passwords:

john --show full_hashes.txt

⚡ Alternative: Hashcat

1. Format the hash into a single-line entry.
2. Use correct hash mode (e.g., 1800 for SHA-512 crypt):

hashcat -m 1800 -a 0 hash.txt /usr/share/wordlists/rockyou.txt

hashcat —help  # to know all types of hashes

5️⃣ /etc/group – ملف إدارة المجموعات

📁 يحتوي على كل الجروبات الموجودة في النظام:

cat /etc/group

👀 مثال سطر:

sudo:x:27:rezkgamal

الحقل المعنى اسم المجموعة sudo كلمة المرور غالبًا * أو x GID رقم تعريف المجموعة الأعضاء أسماء المستخدمين داخل المجموعة

🎯 فكر هجومي:

• لو اسمك ضمن مجموعة sudo أو docker أو shadow ← خطر كبير
• بعض الثغرات تعتمد على استغلال صلاحيات جروبات معينة (مثال: قراءة /etc/shadow لو أنت ضمن مجموعة shadow)

6️⃣ Users Management أدوات إدارة المستخدمين

📦 إضافة مستخدم:

sudo useradd rezk # don't use it

أو:

sudo adduser rezk

🔸 adduser أسهل لأنه بيعمل:

• إنشاء home directory
• تعيين shell افتراضية
• إضافة للمجموعات

🗑️ حذف مستخدم:

sudo userdel rezk

📍لو عايز تحذف الداتا كمان:

• هيحذف فولدر ال home الخاص بالمستخدم
• كلمة السر الخاصة بيه من ملف shadow و passwd
• اي حاجة تخص المستخدم

sudo userdel -r rezk

🔑 تغيير كلمة المرور:

sudo passwd rezk

ولو عايز تغير للمتسخدم اللي انت فيه حاليا

sudo passwd

🎯 كـ Root، تقدر تغير كلمة سر أي مستخدم.

🔚 خلاصة مهاجم Red Team:

• استكشاف المستخدمين /etc/passwd تحديد الحسابات، البحث عن UID = 0
• تحليل كلمات المرور /etc/shadow استخراج الهاشات، كسر الباسووردات
• معرفة من له صلاحيات root /etc/sudoers استغلال sudo
• اكتشاف الصلاحيات /etc/group هل المستخدم في shadow؟ sudo؟
• إضافة مستخدم Backdoor useradd إنشاء حسابات جديدة بصلاحيات
• التحكم في الجروبات usermod -aG تصعيد صلاحيات
• الدخول كـ root sudo, su تشغيل أدوات الاستغلال

-------------------------------------------------------------------------

🛡️ Linux Permissions

أساس كل عملية هجومية تعتمد على التحكم أو تجاوز صلاحيات الملفات والمجلدات والبرمجيات

✅ 1. File Permissions - فهم صلاحيات الملفات

كل ملف أو مجلد في لينوكس ليه صلاحيات بتحدد:

• مين يقدر يقراه (r)
• مين يقدر يكتبه (w)
• مين يقدر ينفذه كبرنامج (x)

لما تعمل:

ls -l Desktop

هتشوف:

drwxr-xr-x 2 razook razookGroup 4096 Dec 1 11:45 .

🎯 التحليل:

الرمز المعنى d نوع الملف (d = directory)

rwx صلاحيات الـ user (المالك)

r-x صلاحيات المجموعة (group)

r-x صلاحيات باقي المستخدمين

🔐 الصلاحيات دي معناها:

• razook يقدر يقرأ، يكتب، وينفّذ
• أعضاء جروب razookGroup يقدروا يقرأوا وينفذوا
• باقي العالم يقدر يقرأ وينفذ بس (other)

✍️ 2. تعديل الصلاحيات – chmod

✅ الطريقة الرمزية:

chmod u+x myfile     # أضف صلاحية التنفيذ للمالك
chmod g-w myfile     # احذف صلاحية الكتابة من الجروب
chmod o+r myfile     # أضف صلاحية القراءة للـ others
chmod ug+w myfile    # أضف صلاحية الكتابة لمالك الملف والجروب

# + = بيزود
# - = بينفص

🔢 الطريقة الرقمية (Octal):

الرقم المعنى

• 4 Read (r)
• 2 Write (w)
• 1 Execute (x)

بنحسب المجموع لكل مجموعة:

chmod 755 myfile

يعني:

• 7 = 4 + 2 + 1 → rwx للمالك
• 5 = 4 + 1 → r-x للجروب
• 5 = 4 + 1 → r-x للـ others

🎯 لا تعدل الصلاحيات عشوائيًا، لأنك ممكن تفتح ملف حساس للجميع وتخرب النظام أو تفتح باب لمهاجم.

🧑‍💻 3. تعديل الملكية – chown و chgrp

🔄 تغيير مالك الملف:

sudo chown rezk myfile  # هينقل صلاحية الملف ل رزق

🧑‍🤝‍🧑 تغيير الجروب:

sudo chgrp hackers myfile  # هينقل صلاحية الملف ل جروب الهاكرز واي حد فيهم ليه الصلاحية 

✨ تغيير الاثنين معًا:

sudo chown rezk:hackers myfile

🎯 ده مهم للمهاجم لأنه لو قدر يغير ملكية ملف، يقدر يسيطر عليه، أو يعمل Privilege Escalation.

🧮 4. الـ umask – التحكم في صلاحيات الملفات الجديدة

📌 لما تنشئ ملف جديد، بيتولد بصلاحيات افتراضية ناقص منها الـ umask

umask 022

• 0 → لا تحذف أي صلاحية من المالك
• 2 → احذف write من الجروب
• 2 → احذف write من others

النتيجة = الملفات الجديدة تكون بصلاحيات:

rw-r--r--

🎯 كمهاجم: ممكن تراقب أو تغير umask علشان ملفات معينة تتولد بضعف أمني.

🔐 5. SUID – Set User ID

💡 فكرة الـ SUID:

لما برنامج يتنفذ وعليه صلاحية SUID، بيتنفذ بصلاحيات مالكه، مش بصلاحيات المستخدم اللي شغله.

ls -l /usr/bin/passwd

هتلاقي:

-rwsr-xr-x 1 root root ...

لاحظ الـ s بدل x ← معناها SUID مفعّل

↪️ يعني passwd بيتنفذ كـ root حتى لو شغلته بمستخدم عادي، علشان يقدر يكتب في /etc/shadow.

⛏️ تعديل SUID:

sudo chmod u+s myfile
# or
sudo chmod 4755 myfile

🎯 كمهاجم:

• أي برنامج عليه SUID = فرصة محتملة للتصعيد Privilege escalation
• لو لقيت ملف عليه s في الـ permissions ابحث في ExploitDB
• او تبحث ف موقع زي GTFOBins

👥 6. SGID – Set Group ID

💡 زي SUID، لكن للـ Group

ls -l /usr/bin/wall

-rwxr-sr-x 1 root tty ...

الـ s في مجموعة الجروب = SGID مفعّلة

↪️ البرنامج هيتنفذ كأنه عضو في جروب tty

⛏️ تعديل SGID:

sudo chmod g+s myfile
# or
sudo chmod 2555 myfile

🎯 SGID على مجلدات ممكن تستخدم لتحديد مجموعة الملفات الجديدة تلقائيًا ← خطر محتمل

🔄 7. Process Permissions – UIDs في العمليات

كل عملية في لينوكس ليها 3 أنواع من UIDs:

النوع الوصف Real UID صاحب العملية الحقيقي – المستخدم اللي شغل الأمر Effective UID الصلاحيات اللي العملية بتشتغل بيها حاليًا (قد تكون root لو فيه SUID) Saved UID بيحتفظ بصلاحيات معينة للتبديل لاحقًا

🧠 مثال:

• المستخدم UID = 1001
• برنامج passwd عليه SUID ومالكه root (UID 0)

لما تشغله:

• Real UID = 1001
• Effective UID = 0 ← دلوقتي البرنامج يقدر يعدل /etc/shadow
• لكن ما يقدرش يعدل باسوورد مستخدم تاني، لأنه عارف مين اللي شغل الأمر.

🎯 ده بيوفر تحكم دقيق في الامتيازات داخل البرامج، وأنت كمهاجم لازم تفهم ده لو ناوي تستغل SUID بشكل ذكي.

🧷 8. Sticky Bit – منع الحذف من مجلد مشترك

💡 Sticky bit بيمنع أي حد من حذف ملفات غيره في مجلد مشترك (زي /tmp)

ls -ld /tmp

drwxrwxrwt ...

لاحظ الـ t في الآخر ← معناها sticky bit مفعّلة

↪️ أي حد يقدر يكتب جوه /tmp، لكن مفيش حد يقدر يمسح ملفات غيره.

⛏️ تفعيل Sticky Bit:

sudo chmod +t mydir
#or
sudo chmod 1777 mydir

🎯 كمهاجم:

• لو sticky bit مش مفعلة على مجلد مشترك → تقدر تمسح ملفات ناس تانية أو تهاجمهم
• أداة شهيرة في الهجوم: تحميل سكريبتات خبيثة في /tmp واستغلال البرامج اللي تشتغل من هناك

📌 خلاصة سريعة (Red Team Mindset):

• الهدف | الأمر أو الرمز | الهجومي بيعمل إيه؟
• اكتشاف ملفات عليها
• SUID find / -perm -4000 2>/dev/null Privilege Escalation
• تعديل الصلاحيات chmod, chown, chgrp تثبيت Backdoor أو حذف قيود
• تحليل صلاحيات الـ process ps -eo user,euser,ruser,args معرفة UID الفعلي/الافتراضي
• sticky bit غير مفعلة ls -ld /tmp مسح ملفات مستخدمين آخرين
• تحليل صلاحيات الملفات ls -l, stat البحث عن ملفات خطيرة قابلة للتنفيذ أو التعديل
• معرفة umask umask, umask -S استغلال صلاحيات ضعيفة افتراضية

🎉 أنتهي اليوم الثاني