GitHub هو المكان الذي يمكنك فيه العثور على عدد كبير من الأدوات لمهمة معينة، سواء كنت مخترقًا أمنيًا، أو مختبر اختراق، أو حتى مطورًا. قد تجد أكوادًا وحلولًا لمشاكلك هناك. يمكنك ببساطة إجراء بحث على GitHub والحصول على قائمة كاملة من الأدوات.
عندما يتعلق الأمر بالقرصنة، فإن الأدوات هي أهم شيء. نحتاج إلى أدوات لتنفيذ مهام محددة أثناء إجراء اختبار الاختراق أو القرصنة الأخلاقية. عندما تقوم بتثبيت نظام تشغيل لينكس موجه للأمن، فإنه يأتي مثبتًا مسبقًا مع الكثير من الأدوات مثل Nmap وMetasploit وغيرها الكثير، ولكنها ليست كافية.
لذلك، في هذا المقال، سأخبرك عن أشهر 10 سكربتات قرصنة يمكنك العثور عليها على GitHub واستخدامها بسهولة في كالي لينكس.
ملاحظة هامة: هذا المقال مخصص للأغراض التعليمية فقط. يمكن أيضًا استخدام هذه الأدوات لأغراض غير أخلاقية من قبل أشخاص سيئي النية. إذا استخدمت هذا النوع من الأشياء لأغراض خبيثة، فسوف تقع في ورطة. لذا، لا تجرب هذا على أي شخص دون إذنه.
1. Zphisher
أول سكربت أو أداة لدينا هي Zphisher. كما يمكنك أن تحكم من اسمها، هي أداة شائعة تستخدم للتصيد الاحتيالي. في وقت كتابة هذا المقال، حصلت هذه الأداة على ما يقرب من 12,000 نجمة على GitHub. لقد قمت بتثبيت هذه الأداة على جهازي الافتراضي بنظام كالي لينكس، وهذا هو شكلها: يوجد شعار Zphisher كبير في الأعلى، وبعد ذلك قائمة كاملة بمنصات التواصل الاجتماعي التي تشمل:
- فيسبوك (Facebook)
- إنستغرام (Instagram)
- تيك توك (TikTok)
- وغيرها الكثير.
يمكن للشخص بسهولة تحديد المنصة هنا وإنشاء رابط خبيث. يمكنه بعد ذلك إرسال هذا الرابط إلى الشخص الذي يريد تطبيق الهندسة الاجتماعية عليه والحصول على بيانات اعتماده. تخيل لو أن شخصًا ذا نوايا سيئة استخدمها لأغراض غير أخلاقية.
2. Seeker
ماذا لو أخبرتك أنه يمكنك الحصول على الموقع شبه الدقيق لأي شخص بمجرد إرسال رابط إليه؟ حسنًا، هذا ممكن. أليس هذا مخيفًا؟ هنا تأتي أداتنا الثانية، وهي Seeker.
Seeker هو سكربت آخر يمكن العثور عليه على GitHub. عندما نقوم بتشغيله في الطرفية (terminal)، يمكننا رؤية شعار في الأعلى ثم قائمة بالقوالب التي يمكننا استخدامها لتطبيق الهندسة الاجتماعية على هدفنا. تتضمن القائمة أيضًا قالب مجموعة واتساب. بمجرد الانتهاء من تحديد القالب، سيقوم بتشغيل خادم على مضيفك المحلي (Local Host). لا يمكنك استخدام هذه الأداة مباشرة عبر الإنترنت، ولكن يمكنك إجراء بعض عمليات التوجيه (tunneling) باستخدام ngrok أو OpenVPN لجعله يعمل عبر الإنترنت. ومع ذلك، كان يعمل بشكل مثالي على مضيفي المحلي. إنه ليس دقيقًا جدًا، ولكنه أفضل من لا شيء.
3. CamPhish
يمكن تحقيق اختراق الكاميرا بسكربت بسيط يمكنك العثور عليه على GitHub. اسم هذه الأداة أو السكربت هو CamPhish.
CamPhish هي أداة أخرى للهندسة الاجتماعية يمكنك العثور عليها بسهولة على GitHub وتستخدم لالتقاط الصور من الكاميرا. تعمل تمامًا مثل الأدوات السابقة. يمكننا إنشاء رابط ومشاركته مع الشخص. عندما يفتح الشخص الرابط، سيطلب الموقع من المستخدم أذونات الكاميرا، وبمجرد السماح بذلك، سيستمر الموقع في التقاط الصور من كاميرته والبدء في إرسالها إلى المخترق. تم تصميم هذا السكربت للأغراض التعليمية فقط، ولكن ماذا لو استخدمه شخص ما لاستهداف الأبرياء؟ لذا، يرجى عدم فتح أي روابط يرسلها أي شخص.
4. Airgeddon
بعد ذلك، لدينا سكربت لاختراق شبكات الواي فاي اكتسب شعبية كبيرة على الإنترنت. اسم هذه الأداة هو Airgeddon.
Airgeddon هي أداة مكتوبة بلغة Rust وهي سريعة جدًا. تُستخدم لالتقاط مصافحات الواي فاي (Wi-Fi handshakes)، بكلمات بسيطة، تُستخدم لاختراق شبكات الواي فاي. يمكنك التقاط ملفات المصافحة للشبكات من حولك باستخدام هذه الأداة، ثم يمكنك استخدام قائمة كلمات (wordlist) لكسر التجزئات (hashes) داخل المصافحة والحصول على كلمة المرور كنص عادي. كما ذكرنا سابقًا، هذه الأداة مكتوبة بلغة Rust، مما يجعلها سريعة وفعالة للغاية. تستخدم طريقة إلغاء المصادقة (deauthentication) لشن هجمات على شبكات الواي فاي والتقاط المصافحة. وهي متاحة على GitHub ويمكنك تجربتها إذا أردت، ولكن قد تحتاج إلى محول واي فاي خارجي يدعم وضع المراقبة (monitor mode).
5. Fluxion
Fluxion هو سكربت آخر لاختراق شبكات الواي فاي يمكنك العثور عليه على GitHub. يشتهر بشن هجمات التوأم الشرير (evil twin attacks). هجوم التوأم الشرير هو هجوم نقوم فيه بإنشاء شبكة واي فاي مزيفة بنفس اسم شبكة هدفنا ونقوم بإلغاء مصادقة جميع العملاء من الشبكة الأصلية. هذا يجعلهم يتصلون بشبكة الواي فاي المزيفة حيث يدخلون بيانات اعتمادهم ويتم التصيد بهم.
بهذه الطريقة، هو مجرد سكربت بسيط لأتمتة الأمور بشكل أساسي. أقترح عليك عدم الاعتماد على هذه الأدوات وبدلاً من ذلك تعلم كيفية إنشاء هذا النوع من السكربتات بنفسك أو تعلم كيفية تنفيذ هذا النوع من الهجمات يدويًا. ولكنه لا يزال سكربتًا جيدًا جدًا إذا كنت ترغب فقط في أن تعرض للناس كيف تعمل قرصنة الواي فاي وكيف يمكنك تأمين شبكاتك.
6. TheFatRat
إذا كان لديك بالفعل بعض المعرفة بالقرصنة، فقد تعرف ما هو Metasploit. Metasploit هي أداة تستخدم بشكل أساسي من قبل مختبري الاختراق والمخترقين الأخلاقيين لاستغلال الثغرات في الأنظمة واختراقها. ومع ذلك، فإن الحمولات الخبيثة (payloads) التي ننشئها باستخدامه يتم اكتشافها بسهولة بواسطة برامج مكافحة الفيروسات.
كحل لهذه المشكلة، لدينا أداتنا التالية: TheFatRat. تُستخدم TheFatRat لإنشاء أبواب خلفية (backdoors) وحمولات خبيثة بطريقة تتجنب برامج مكافحة الفيروسات. هذا النوع من الأدوات خطير جدًا، لذا يجب إبعاده عن أيدي المبتدئين (script kiddies) حيث يمكنهم استخدام أدوات مثل هذه لإلحاق ضرر كبير بأي شخص. TheFatRat موجود في قائمتي لأنه كان شائعًا جدًا في وقته، ولكن الآن أصبحت الأنظمة أكثر أمانًا. عمر المشروع حوالي 9 سنوات وآخر تحديث له كان قبل 3 سنوات، لكنه لا يزال خطيرًا جدًا وإذا تعلم مبتدئ استخدامه بشكل صحيح، فقد يسبب مشاكل خطيرة.
7. CUPP (Common User Passwords Profiler)
تخيل أنك تقوم بكسر ملف مصافحة وتحتاج إلى قائمة كلمات أكثر تحديدًا لهدفك. في مثل هذه الحالات، يمكنك استخدام CUPP.
CUPP هو اختصار لـ Common User Passwords Profiler. يُستخدم لإنشاء قوائم كلمات مخصصة بناءً على الخصائص والأشياء التي تعرفها عن هدفك. عندما تبدأ CUPP في الوضع التفاعلي، سيطرح عليك بعض الأسئلة حول هدفك مثل اسمه، ولقبه، وعمره، واسم حيوانه الأليف، وما إلى ذلك. باستخدام هذه المعلومات، سيقوم بإنشاء قائمة كلمات لك يمكن أن تساعدك في تخمين كلمة المرور بكفاءة أكبر. إنه مشروع قديم ولكنه لا يزال يستخدمه الكثير من الناس.
8. F-Society Toolkit
إذا كنت قد شاهدت مسلسل Mr. Robot، فقد تعرف F-Society وأداة F-Society التي يستخدمها المخترقون في المسلسل. ولكن ماذا لو أخبرتك أن لدينا أداة F-Society حقيقية على GitHub؟ لن تصدقني، أليس كذلك؟ لكنها حقيقة.
على GitHub، يمكنك العثور على أداة F-Society. هذه الأداة لا تفعل الكثير باستثناء أنها تجعل منك مبتدئًا مثاليًا (script kitty) لأنها تقوم بأتمتة أدوات أخرى. هل يمكنك تخيل استخدام أداة واحدة لتشغيل أدوات أخرى؟ إنه أمر مروع ولكنه حقيقي. إليك أداة F-Society، التي تعرض قائمة طويلة من الخيارات تشمل جمع المعلومات، وهجمات كلمات المرور، والمزيد. يمكنك فقط إدخال الرقم لفئة معينة واستخدام الأدوات الموجودة بداخلها. قد تكون مفيدة للكثيرين، ولكن بالنسبة لي، هي ليست أكثر من مجرد مضيعة للوقت.
9. CyberChef
أداتنا التالية هي CyberChef. بشكل أساسي، تُستخدم لفك تشفير النصوص المشفرة. يمكنك تشغيلها محليًا على جهاز الكمبيوتر الخاص بك، ويمكنك أيضًا تشغيلها عبر الإنترنت. تُستخدم لكل من فك تشفير وتشفير النصوص. يمكنك أيضًا كسر بعض التجزئات (hashes) بها. تُستخدم في الغالب أثناء لعب مسابقات التقاط العلم (Capture the Flag) وحل الغرف (rooms). أوصي بشدة بتجربتها وتعلم كيفية عمل التشفير وفك التشفير.
10. Whoami Tool
أخيرًا وليس آخرًا، لدينا أداة Whoami. تُستخدم هذه الأداة لتوفير إخفاء الهوية لك. يمكنك تصفح الإنترنت مع الحفاظ على هويتك مجهولة وخصوصيتك. تستخدم Tor لتغيير عنوان IP الخاص بك، ويمكنك أيضًا تغيير عنوان MAC الخاص بك باستخدام هذه الأداة.
خاتمة
إذًا، كان هذا مقالًا موجزًا عن 10 سكربتات شائعة يمكنك العثور عليها على GitHub. بعضها كان رائعًا حقًا، لكن بعضها كان مجرد مضيعة للوقت. إذا كنت لا تزال مبتدئًا في مجال القرصنة، فأنا أوصيك بعدم السعي وراء هذا النوع من السكربتات. بدلاً من ذلك، قم ببعض التعلم العميق وتعلم كيف يمكنك كتابة هذا النوع من الأشياء بنفسك. القرصنة لا تتعلق فقط بتعلم عدد قليل من الأدوات أو السكربتات؛ يجب أن تعرف كيفية حل مشاكلك بنفسك. إذا سألني أحدهم كيف أتعلم القرصنة، أجيبهم بتعلم حل المشكلات أولاً. يمكنك تعلم أي شيء تريده، ولكن يجب أن يكون لديك الصبر والتفاني. كان هذا كل شيء لهذا المقال.